『Cisco Identity Services Engine CLI Reference Guide, Release 2.0』
EXEC モードの Cisco ISE CLI コマンド
EXEC モードの Cisco ISE CLI コマンド

目次

EXEC モードの Cisco ISE CLI コマンド

この章では、EXEC モードで使用される Cisco ISE コマンドライン インターフェイス(CLI)コマンドについて説明します。この章では、コマンドごとに、その使用方法の簡単な説明、コマンドの構文、使用上のガイドライン、および使用例を示します。

EXEC モードで開始される Cisco ISE CLI セッション

Cisco ISE CLI でセッションを開始する場合、EXEC モードから始めます。EXEC モードでは、Cisco ISE サーバのすべてにアクセスしてシステム レベルの設定を実行し、操作ログを生成する権限があります。

application install


(注)  


Cisco Identity Services Engine(ISE)アプリケーションは、すべてのサポート対象のアプライアンスおよび VMware に Cisco IOS イメージとともに事前にインストールされるため、通常の操作ではコマンドライン インターフェイス(CLI)から application install コマンドを実行できません。


Cisco ISE 以外の特定のアプリケーションをインストールするには、EXEC モードで application install コマンドを使用します。Cisco ISE 以外のアプリケーションを削除するには、application remove コマンドを使用します。

application [ install{application-bundle} {remote-repository-name}]

構文の説明

install

特定のアプリケーションをインストールします。

application-bundle

アプリケーション バンドルのファイル名。最大 255 文字の英数字をサポートします。

remote-repository-name

リモート リポジトリ名。最大 255 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

指定したアプリケーション バンドルをアプライアンスにインストールします。アプリケーション バンドル ファイルは、指定したリポジトリから取得されます。

アプリケーションをインストールまたは削除している間に、application install コマンドや application remove コマンドを別に発行すると、次の警告メッセージが表示されます。


An existing application install, remove, or upgrade is in progress. Try again shortly.


ise/admin# application install ise-appbundle-1.1.0.362.i386.tar.gz myrepository
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Initiating Application installation...
Extracting ISE database content...
Starting ISE database processes...
Restarting ISE database processes...
Creating ISE M&T session directory...
Performing ISE database priming...
Application successfully installed
ise/admin#

application configure

M&T 操作の実行、プロファイラに関連する統計情報の更新と表示、および Cisco ISE CA 証明書とキーをバックアップおよび復元するオプションのエクスポートとインポート、Cisco ISE での主要パフォーマンス測定指標(KPM)の統計情報の生成を行うには、EXEC モードで application configure コマンドを使用します。

application [ configure {application-name}]

構文の説明

configure

特定のアプリケーションを設定します。

application-name

アプリケーション名。最大 255 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

このコマンドを使用して、M&T データベースとインデックスの更新、および Cisco ISE CA 証明書とキーのエクスポートおよびインポート、Cisco ISE ノードでの主要パフォーマンス測定指標(KPM)の統計情報の生成を行うことができます。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes


ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes

モニタリング データベースの設定

はじめる前に

Cisco ISE サーバが導入に含まれていない場合だけモニタリング データベースをリセットする必要があります。


(注)  


ログ ファイルの不一致を回避するために、プライマリおよびセカンダリのモニタリング ノード データベースを同時にリセットすることを推奨します。


モニタリング データベース関連のタスクを設定するには、application configure ise コマンドで次のオプションを使用します。

  • モニタリング セッション データベースをリセットするには、オプション 1 を使用します。

  • モニタリング データベースの使用不可能なインデックスを再構築するには、オプション 2 を使用します。

  • モニタリング動作データをパージするには、オプション 3 を使用します。

  • モニタリング データベースをリセットするには、オプション 4 を使用します。

  • モニタリング データベースの統計情報を更新するには、オプション 5 を使用します。

モニタリング セッション データベースをリセットするには、オプション 1 を使用します。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


1
You are about to reset the M&T session database. Following this operation, an application restart will be required.
Are you sure you want to proceed? y/n [n]: y
TimesTen Daemon stopped.
TimesTen Daemon startup OK.
Restarting application
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.

2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes

3
Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days]
For instance, Entering 20 will purge MnT Operational data older than 20 days
Enter 'exit' to return to the main menu without purging
Enter days to be retained: 20
You are about to purge M&T data older than 20 from your database.
Are you sure you want to proceed? y/n [n]: y
M&T Operational data older than 20 is getting removed from database
4
You are about to reset the M&T database. Following this operation, application will be restarted.
Are you sure you want to proceed? y/n [n]: y
Stopping application
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting Database only
Creating ISE M&T database tables...
Restarting application
ISE M&T Log Collector is not running
ISE M&T Log Processor is not running
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
ISE Application Server process is not running
ISE Certificate Authority Service is not running
ISE Profiler Database is not running
ISE M&T Session Database is not running
ISE AD Connector is not running
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.

5
You are about to Refresh Database statistics
Are you sure you want to proceed? y/n [n]: y
Starting to terminate long running DB sessions
Completed terminating long running DB sessions
 
Gathering Config schema(CEPM) stats ........ 
Gathering Operational schema(MNT) stats .... 
Completed Refresh Database statistics

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


1
You are about to reset the M&T session database. Following this operation, an application restart will be required.
Are you sure you want to proceed? y/n [n]: y
TimesTen Daemon stopped.
TimesTen Daemon startup OK.
Restarting application
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.

2
You are about to rebuild the M&T database unusable indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to rebuild indexes
Completed rebuild indexes

3
Enter number of days to be retained in purging MnT Operational data [between 1 to 90 days]
For instance, Entering 20 will purge MnT Operational data older than 20 days
Enter 'exit' to return to the main menu without purging
Enter days to be retained: 20
You are about to purge M&T data older than 20 from your database.
Are you sure you want to proceed? y/n [n]: y
M&T Operational data older than 20 is getting removed from database
4
You are about to reset the M&T database. Following this operation, application will be restarted.
Are you sure you want to proceed? y/n [n]: y
Stopping application
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting Database only
Creating ISE M&T database tables...
Restarting application
ISE M&T Log Collector is not running
ISE M&T Log Processor is not running
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
ISE Application Server process is not running
ISE Certificate Authority Service is not running
ISE Profiler Database is not running
ISE M&T Session Database is not running
ISE AD Connector is not running
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.

5
You are about to Refresh Database statistics
Are you sure you want to proceed? y/n [n]: y
Starting to terminate long running DB sessions
Completed terminating long running DB sessions
 
Gathering Config schema(CEPM) stats ........ 
Gathering Operational schema(MNT) stats .... 
Completed Refresh Database statistics

プロファイリング イベントのライブ統計情報

プロファイリング イベントからプローブとタイプによってライブ統計情報を表示するには、application configure コマンドの Display Profiler Statistics オプションを使用します。このデータは、ポリシー サービス ノードだけで収集され、モニタリング ノードではこのデータは表示されません。

このコマンドでは、以前は取得用にルート パッチを必要としていた既存の JMX カウンタまたは外部 JConsole を活用するため、このデータをキャプチャするためにルート パッチを使用する必要はありません。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


6

Create an RMI connector client and connect it to the RMI connector server 
Get an MBeanServerConnection
Retrieve MXBean

Press <Enter> to continue...
Timestamp,Elapsed,EndpointsProfiled,NetflowPacketsReceived,
EndpointsReProfiled,EndpointsDeleted...
Press Ctrl + c

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


6

Create an RMI connector client and connect it to the RMI connector server 
Get an MBeanServerConnection
Retrieve MXBean

Press <Enter> to continue...
Timestamp,Elapsed,EndpointsProfiled,NetflowPacketsReceived,
EndpointsReProfiled,EndpointsDeleted...
Press Ctrl + c

内部 CA ストアのエクスポートおよびインポート

プライマリ管理ノード(PAN)から Cisco ISE CA 証明書およびキーをエクスポートして、PAN に障害が発生した場合にセカンダリ管理ノードにインポートできるようにするには、EXEC モードで application configure コマンドを使用します。

セカンダリ管理ノードをプライマリ管理ノード(PAN)に昇格させる場合は、元の PAN からエクスポートした Cisco ISE CA 証明書およびキーをインポートする必要があります。

  • Cisco ISE CA 証明書およびキーのコピーをエクスポートするには、application configure ise コマンドのオプション 7 を使用します。

  • Cisco ISE CA 証明書およびキーのコピーをインポートするには、application configure ise コマンドのオプション 8 を使用します。

例 1

Cisco ISE CA 証明書およびキーのコピーをエクスポートするには、オプション 7 を使用します。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


7
Export Repository Name: sftp
Enter encryption-key for export: Test1234
Export on progress...............

The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise60':
        Subject:CN=Certificate Services Root CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656

        Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289

        Subject:CN=Certificate Services Endpoint RA - ise60
        Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
        Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4

        Subject:CN=Certificate Services OCSP Responder Certificate - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2

ISE CA keys export completed successfully


ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


7
Export Repository Name: sftp
Enter encryption-key for export: Test1234
Export on progress...............

The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise60':
        Subject:CN=Certificate Services Root CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656

        Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289

        Subject:CN=Certificate Services Endpoint RA - ise60
        Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
        Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4

        Subject:CN=Certificate Services OCSP Responder Certificate - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2

ISE CA keys export completed successfully

例 2

Cisco ISE CA 証明書およびキーのコピーをインポートするには、オプション 8 を使用します。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


8
Import Repository Name: sftp
Enter CA keys file name to import: ise_ca_key_pairs_of_ise60
Enter encryption-key: Test1234
Import on progress...............



The following 4 CA key pairs were imported:
        Subject:CN=Certificate Services Root CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656

        Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289

        Subject:CN=Certificate Services Endpoint RA - ise60
        Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
        Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4

        Subject:CN=Certificate Services OCSP Responder Certificate - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2

Stopping ISE Certificate Authority Service...
Starting ISE Certificate Authority Service...
ISE CA keys import completed successfully

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


8
Import Repository Name: sftp
Enter CA keys file name to import: ise_ca_key_pairs_of_ise60
Enter encryption-key: Test1234
Import on progress...............



The following 4 CA key pairs were imported:
        Subject:CN=Certificate Services Root CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x66cfded7-2f384979-9110c0e1-50dbf656

        Subject:CN=Certificate Services Endpoint Subordinate CA - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x20ff700b-d5844ef8-a029bf7d-fad64289

        Subject:CN=Certificate Services Endpoint RA - ise60
        Issuer:CN=Certificate Services Endpoint Subordinate CA - ise60
        Serial#:0x483542bd-1f1642f4-ba71b338-8f606ee4

        Subject:CN=Certificate Services OCSP Responder Certificate - ise60
        Issuer:CN=Certificate Services Root CA - ise60
        Serial#:0x0ad3ccdf-b64842ad-93dd5826-0b27cbd2

Stopping ISE Certificate Authority Service...
Starting ISE Certificate Authority Service...
ISE CA keys import completed successfully

欠落したインデックスの作成

インデックスの欠落によるアップグレードの失敗を回避するには、EXEC モードで application configure コマンドを使用します。

  • 欠落した CEPM データベース インデックスを作成するには、オプション 9 を使用します。

  • 欠落したモニタリング データベース インデックスを作成するには、オプション 10 を使用します。

例 1

CEPM データベース インデックスを作成するには、オプション 9 を使用します。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


9
You are about to create missing config indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing config indexes
Completed creating missing config indexes


ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


9
You are about to create missing config indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing config indexes
Completed creating missing config indexes

例 2

欠落したモニタリング データベース インデックスを作成するには、オプション 10 を使用します。
ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


10
You are about to create missing MnT indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing MnT indexes
Completed creating missing MnT indexes

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit


10
You are about to create missing MnT indexes.
Are you sure you want to proceed? y/n [n]: y
Starting to create missing MnT indexes
Completed creating missing MnT indexes

ACS の移行をイネーブルにする

ACS コンフィギュレーションを ISE に移行するには、EXEC モードで application configure コマンドを使用します。ISE への ACS 設定の移行をイネーブルまたはディセーブルにするには、オプション 11 を使用します。


(注)  


Cisco ISE リリース 1.31.4 は ACS リリース 5.5 および 5.6 からの移行をサポートしています。


ACS 設定をイネーブルにするには、オプション 11 を使用します。

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Exit


11
ACS Migration is currently disabled. Are you sure you want to enable it? [y/n]y
ACS Migration enabled. Please make sure to disable it after you complete migration process.

ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit



11
ACS Migration is currently disabled. Are you sure you want to enable it? [y/n]y
ACS Migration enabled. Please make sure to disable it after you complete migration process.

主要パフォーマンス測定指標の統計データ

主要パフォーマンス測定指標(KPM)を取得するには、application configure コマンドの Generate Daily KPM Stats オプションまたは Generate KPM Stats for last 8 Weeks オプションを使用します。このデータはモニタリング ノードから収集されます。このコマンドでは、展開に接続しているエンドポイントの統計情報が出力されます。日単位または過去 8 週間の KPM 統計情報のレポート生成を選択できます。レポートはローカルディスクに保存されます。

KPM 統計情報を生成する前にモニタリング データベースをリセットした場合(オプション 4)、オプション 12 と 13 を使用してもデータは返されません。


ise/admin# application configure ise
Selection ISE configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Exit

12

You are about to generate Daily KPM (Key Performance Metrics).
 % Warning Generating KPM stats may impact ISE performance during the generation of the report. It is suggested to run this report during non-peak hours and when not 
conflicting with other scheduled operations of ISE.
Are you sure you want to proceed? y/n [n]: y
Starting to generate Daily KPM stats
Copying files to /localdisk
Completed generating daily KPM stats. You can find details in following files located under /localdisk
KPM_onboarding_results_27_MAR_2015.xls
KPM_trx_load_27_MAR_2015.xls

application remove


(注)  


アップグレードに関する明示的な指示がない限り、Cisco ISE を削除するために、コマンドライン インターフェイス(CLI)から application remove コマンドを実行することはできません。


Cisco ISE 以外の特定のアプリケーションを削除するには、EXEC モードで application remove コマンドを使用します。

application [ remove {application-name}]

Cisco ISE 以外の他のアプリケーションを削除したくない場合は、このコマンドの no 形式を使用します。

no application [ remove {application-name}]

構文の説明

remove

アプリケーションを削除またはアンインストールします。

application-name

アプリケーション名。最大 255 文字の英数字をサポートします。

アプリケーションを削除またはアンインストールします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

アプリケーションを削除またはアンインストールします。


ise/admin# application remove ise
Continue with application removal? [y/n] y
Application successfully uninstalled
ise/admin#

application reset-config

Cisco ISE アプリケーション コンフィギュレーションを工場出荷時の初期状態にリセットするか、既存の工場出荷時の設定を保持するには、EXEC モードで application reset-config コマンドを使用します。自己署名証明書に加えて、サーバ証明書をリセットしたり、既存のサーバ証明書を保持したりすることもできます。

application [ reset-config {application-name}]

構文の説明

reset-config

Cisco ISE アプリケーション コンフィギュレーションをリセットし、Cisco ISE データベースをクリアします。

application-name

リセットするアプリケーション コンフィギュレーションの名前。最大 255 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

application reset-config コマンドを使用すると、Cisco ISE アプライアンスと VMware を再イメージ化せずに、Cisco ISE コンフィギュレーションのリセットと、Cisco ISE データベースのクリアが可能です。リセットでは、新しい Cisco ISE データベース管理者およびユーザ パスワードを入力する必要があります。


(注)  


application reset-config コマンドにより、Cisco ISE コンフィギュレーションは工場出荷時の初期状態にリセットされますが、オペレーティング システム(Cisco ADE-OS)コンフィギュレーションはそのままになります。Cisco ADE-OS コンフィギュレーションには、ネットワーク設定、CLI パスワード ポリシー、およびバックアップ履歴などの項目が含まれています。


CLI から Cisco ISE アプリケーション設定をリセットすると、すでに結合している場合に Active Directory ドメインから ISE ノードを切断する脱退処理が実行されます。ただし、Cisco ISE ノードのアカウントは、Active Directory ドメインから削除されません。Active Directory のクレデンシャルで Cisco ISE 管理者ポータルからの脱退処理を実行することを推奨します。脱退処理は、Active Directory ドメインからノードのアカウントを削除します。

ユーザが No オプションを選択した場合、コマンドはサーバ証明書を削除し、自己署名証明書のみを再生成します。ユーザが Yes オプションを選択した場合、コマンドは所定の場所にエクスポートすることによって既存のサーバ証明書を保持します。サーバ証明書は、この場所からインポートされます。


ise/admin# application reset-config ise
Initialize your ISE configuration to factory defaults? (y/n): y
Leaving currently connected AD domains if any...
Please rejoin to AD domains from the administrative GUI
Retain existing ISE server certificates? (y/n): y
Reinitializing local ISE configuration to factory defaults...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Enter the ISE administrator username to create[admin]: admin
Enter the password for 'admin':
Re-enter the password for 'admin':
Extracting ISE database content...
Starting ISE database processes...
Creating ISE M&T session directory...
Performing ISE database priming...
application reset-config is success
ise/admin#

application reset-passwd

間違ったパスワードが入力されたために管理者アカウントが無効になった後、Cisco ISE で指定されたユーザ アカウント(通常は既存の管理者アカウント)の管理者ポータル ログイン パスワードをリセットするには、EXEC モードで application reset-passwd コマンドを使用します。また、このコマンドを使用して、Cisco ISE データベース管理者パスワードとユーザ パスワードをリセットすることもできます。

application [ reset-passwd {application-name} {administrator-ID | internal-database-admin | internal-database-user}]

構文の説明

reset-passwd

管理者アカウント パスワードをリセットします。

application-name

アプリケーション名。最大 255 文字の英数字をサポートします。

administrator-ID

パスワードをリセットするディセーブルになった管理者アカウントの名前。

internal-database-admin

Cisco ISE データベースのシステム レベルのパスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。このパスワードは 11 文字以上の長さにする必要があり、少なくとも 1 つの小文字、少なくとも 1 つの大文字、および少なくとも 1 つの数字(0 ~ 9)を入れる必要があります。

internal-database-user

Cisco ISE データベースのアクセス レベルのパスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。このパスワードは 11 文字以上の長さにする必要があり、少なくとも 1 つの小文字、少なくとも 1 つの大文字、および少なくとも 1 つの数字(0 ~ 9)を入れる必要があります。

internal-comm-user

 

コマンド デフォルト

デフォルトの動作または値はありません。Cisco ISE で管理者アカウントをディセーブルにする必要があります。

コマンド モード

EXEC

使用上のガイドライン

Cisco ISE 管理者ポータルのパスワードをリセットするときは次の特殊文字を使用できます。

~

!

@

$

&

*

-

_

+

=

\

"

,

;

<

>

管理者のユーザ ID に対して、指定された回数を超えて間違ったパスワードを入力すると、管理者ポータルによってシステムから「ロックアウト」されます。Cisco ISE は、その管理者ユーザ ID に関連付けられたパスワードがリセットされるまでその資格情報を一時停止します。管理 ISE ノードの CLI でのみ管理者パスワードをリセットできます。

通常、Cisco ISE データベース管理者とユーザのパスワードは、初期設定またはアップグレード中に一度しか指定する必要はありません。これらのパスワードの変更が必要になった場合は、application reset-passwd コマンドを使用して変更できます。

UTF-8 管理者ユーザは、Cisco ISE 管理者ポータルからのみパスワードを変更できます。


ise/admin# application reset-passwd ise admin
Enter new password: ******
Confirm new password: ******
Password reset successfully.
ise/admin#

application start

特定のアプリケーションをイネーブルにするには、EXEC モードで application start コマンドを使用します。アプリケーションの起動をディセーブルにするには、このコマンドの no 形式を使用します。

application [ start {application-name | safe}]

no application [ start {application-name| safe}]

構文の説明

開始

アプリケーション バンドルをイネーブルにします。

application-name

イネーブルにする、事前に定義されたアプリケーションの名前。最大 255 文字の英数字をサポートします。

safe

セーフ モードでアプリケーションを起動します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

アプリケーションをイネーブルにします。

このコマンドを使用して、Cisco ISE を開始することはできません。開始しようとすると、Cisco ISE がすでに実行されていると表示されます。

application startsafe コマンドを使用して、Cisco ISE をセーフ モードで起動できます。このモードでは、管理者ポータルに対するアクセス コントロールを一時的に無効にして、必要な変更を行った後に、アプリケーションを再起動できます。

この安全オプションは、管理者として誤って Cisco ISE 管理者ポータルのアクセスからすべてのユーザをロックアウトしたときのリカバリ方法になります。この状況は [管理 (Administration)] > [管理者アクセス (Admin Access)] > [設定 (Settings)] > [アクセス (Access)] ページで間違った「IP アクセス」リストを設定した場合に発生します。また、「安全」オプションにより、証明書ベースの認証がバイパスされ、Cisco ISE 管理者ポータルにログインするためにデフォルトのユーザ名およびパスワード認証に戻ります。

例 1


ise/admin# application start ise
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.

ise/admin# show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID  
--------------------------------------------------------------------
Database Listener                      running          30171       
Database Server                        running          33 PROCESSES
Application Server                     initializing                 
Profiler Database                      running          31315       
AD Connector                           running          1732        
M&T Session Database                   running          31225       
M&T Log Collector                      running          1625        
M&T Log Processor                      running          1584        
Certificate Authority Service          running          1532        
pxGrid Infrastructure Service          disabled                     
pxGrid Publisher Subscriber Service    disabled                     
pxGrid Connection Manager              disabled                     
pxGrid Controller                      disabled                     
Identity Mapping Service               disabled                     
ise/admin#

セーフ モードでの Cisco ISE アプリケーションの起動

「安全」オプションの目的は、誤って発動された可能性があるアクセス制限をバイパスすることです。Cisco ISE サービスを開始するためにセーフ モードを使用した場合、次の動作が見られます。

  • 管理者が誤って自身をロックした場合は、正しい IP アクセス制限にログインできるように IP アクセス制限が一時的にディセーブルになります。

  • FIPS がイネーブルのホストで、「安全」オプションがアプリケーションの起動時に渡された場合、FIPS 整合性チェックが一時的にディセーブルになります。通常、FIPS 整合性チェックが失敗した場合は、Cisco ISE サービスは開始されません。ユーザはアプリケーションの起動時に「安全」オプションを使用して FIPS 整合性チェックをバイパスできます。

  • FIPS がイネーブルのホストで、「安全」オプションがアプリケーションの起動時に渡された場合、ハードウェア乱数ジェネレータ整合性チェックがディセーブルになります。

  • 証明書ベースの認証を使用する場合、アプリケーション起動時の「安全」オプションで一時的にユーザ名とパスワード ベースの認証が使用されます。


(注)  


これらの変更は一時的なものであり、Cisco ISE アプリケーションのインスタンスだけに関連します。Cisco ISE サービスを「安全」オプションなしで再起動すると、デフォルトの機能がすべて復元されます。



ise/admin# application stop ise

Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...

ise/admin# application start ise safe

Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
ise/admin#

application stop

特定のアプリケーションをディセーブルにするには、EXEC モードで application stop コマンドを使用します。アプリケーションの停止をディセーブルにするには、このコマンドの no 形式を使用します。

application [ stop {application-name}]

no application [ stop {application-name}]

構文の説明

stop

アプリケーションをディセーブルにします。

application-name

ディセーブルにする、事前に定義されたアプリケーションの名前。最大 255 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

アプリケーションをディセーブルにします。

展開内で自動フェールオーバー設定がイネーブルになっていると、次の警告メッセージが表示されます。

PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?

続行する場合は「y」、中止する場合は「n」を入力します。


ise/admin# application stop ise
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Identity Mapping Service...
Stopping ISE pxGrid processes...
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
ise//admin# show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      not running
Application Server                     not running
Profiler Database                      not running
AD Connector                           not running
M&T Session Database                   not running
M&T Log Collector                      not running
M&T Log Processor                      not running
Certificate Authority Service          disabled
pxGrid Infrastructure Service          not running
pxGrid Publisher Subscriber Service    not running
pxGrid Connection Manager              not running
pxGrid Controller                      not running
Identity Mapping Service               not running
ise//admin#

アプリケーションのアップグレード

特定のアプリケーション バンドルをアップグレードするには、EXEC モードで application upgrade コマンドを使用します。

application [ upgrade {application-bundle |remote-repository-name}]

構文の説明

アップグレード

リモート リポジトリ内の特定のアプリケーション バンドルをアップグレードします。

application-bundle

アプリケーション名。最大 255 文字の英数字をサポートします。

remote-repository-name

リモート リポジトリ名。最大 255 文字の英数字をサポートします。

cleanup

以前に準備されたアップグレード バンドルを削除し、新しいアップグレード バンドルを準備します。

prepare

アップグレード バンドルをダウンロードし、内容をローカル ディスクに解凍して、アップグレードするアプリケーションを準備します。

application-bundle

アプリケーション名。最大 255 文字の英数字をサポートします。

proceed

ローカル ファイルを使用してアップグレードを続行します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

アプリケーションをアップグレードし、アプリケーション コンフィギュレーション データを保存します。詳細については、『Cisco Identity Services Engine Upgrade Guide』を参照してください。

  • 失敗した場合や別のバージョンを使用する場合に他のアップグレード バンドルを試すには、cleanup オプションを使用します。

  • ローカルでアップグレード バンドルをダウンロードして抽出するには、prepare オプションを使用します。

  • prepare オプションで抽出したアップグレード バンドルを使用して Cisco ISE をアップグレードするには、proceed オプションを使用します。直接 application upgrade コマンドを使用する代わりに、アップグレード バンドルを用意してからこのオプションを使用できます。

    • アップグレードが成功した場合、このオプションはアップグレード バンドルを削除します。

    • アップグレードが何らかの理由で失敗した場合、このオプションはアップグレード バンドルを保持します。

アプリケーションをアップグレードしている間に、application upgrade コマンドを別に発行すると、次の警告メッセージが表示されます。


An existing application install, remove, or upgrade is in progress. Try again shortly.

注意    


アップグレードの進行中は、backup または restore コマンドを発行しないでください。このアクションを実行すると、データベースが破損する可能性があります。



(注)  


この application upgrade コマンドを使用する前に、その新しいリリースで提供されているリリース ノートのアップグレード手順を確認する必要があります。リリース ノートには更新された重要な手順が含まれており、それに従う必要があります。


例 1

ise/admin# application upgrade prepare ise-upgradebundle-1.2.x-to-1.3.0.693.x86_64.tar.gzise-upgradebundle-1.4.0.205.x86_64.tar.gz upgrade
Getting bundle to local machine...
md5: de9e7c83679897f792ad3e9f74879c51a3206ad6bd0616cfa51846119d60ee7a
sha256: e3358ca424d977af67f8bb2bb3574b3e559ce9578d2f36c44cd8ba9e6dddfefd
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y]Y
Getting bundle to local machine...
md5: de9e7c83679897f792ad3e9f74879c51
sha256: e3358ca424d977af67f8bb2bb3574b3e559ce9578d2f36c44cd8ba9e6dddfefd

例 2

ise/admin# application upgrade proceed
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
STEP 4: Taking backup of the configuration data...
STEP 5: Running ISE configuration DB schema upgrade...
- Running db sanity check to fix index corruption, if any...

ISE Database schema upgrade completed.
STEP 6: Running ISE configuration data upgrade...
- Data upgrade step 1/59, NSFUpgradeService(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 2/59, NetworkAccessUpgrade(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 3/59, GuestUpgradeService(1.2.1.146)... Done in 50 seconds.
- Data upgrade step 4/59, NetworkAccessUpgrade(1.2.1.148)... Done in 2 seconds.
- Data upgrade step 5/59, NetworkAccessUpgrade(1.2.1.150)... Done in 2 seconds.
- Data upgrade step 6/59, NSFUpgradeService(1.3.0.100)... Done in 0 seconds.
- Data upgrade step 7/59, RegisterPostureTypes(1.3.0.170)... Done in 0 seconds.
- Data upgrade step 8/59, ProfilerUpgradeService(1.3.0.187)... Done in 5 seconds.
- Data upgrade step 9/59, GuestUpgradeService(1.3.0.194)... Done in 2 seconds.
- Data upgrade step 10/59, NetworkAccessUpgrade(1.3.0.200)... Done in 0 seconds.
- Data upgrade step 11/59, GuestUpgradeService(1.3.0.208)... Done in 2 seconds.
- Data upgrade step 12/59, GuestUpgradeService(1.3.0.220)... Done in 0 seconds.
- Data upgrade step 13/59, RBACUpgradeService(1.3.0.228)... Done in 15 seconds.
- Data upgrade step 14/59, NetworkAccessUpgrade(1.3.0.230)... Done in 3 seconds.
- Data upgrade step 15/59, GuestUpgradeService(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 16/59, NetworkAccessUpgrade(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 17/59, RBACUpgradeService(1.3.0.334)... Done in 9 seconds.
- Data upgrade step 18/59, RBACUpgradeService(1.3.0.335)... Done in 9 seconds.
- Data upgrade step 19/59, ProfilerUpgradeService(1.3.0.360)... ...Done in 215 seconds.
- Data upgrade step 20/59, ProfilerUpgradeService(1.3.0.380)... Done in 4 seconds.
- Data upgrade step 21/59, NSFUpgradeService(1.3.0.401)... Done in 0 seconds.
- Data upgrade step 22/59, NSFUpgradeService(1.3.0.406)... Done in 0 seconds.
- Data upgrade step 23/59, NSFUpgradeService(1.3.0.410)... Done in 1 seconds.
- Data upgrade step 24/59, RBACUpgradeService(1.3.0.423)... Done in 0 seconds.
- Data upgrade step 25/59, NetworkAccessUpgrade(1.3.0.424)... Done in 0 seconds.
- Data upgrade step 26/59, RBACUpgradeService(1.3.0.433)... Done in 1 seconds.
- Data upgrade step 27/59, EgressUpgradeService(1.3.0.437)... Done in 0 seconds.
- Data upgrade step 28/59, NSFUpgradeService(1.3.0.438)... Done in 0 seconds.
- Data upgrade step 29/59, NSFUpgradeService(1.3.0.439)... Done in 0 seconds.
- Data upgrade step 30/59, CdaRegistration(1.3.0.446)... Done in 2 seconds.
- Data upgrade step 31/59, RBACUpgradeService(1.3.0.452)... Done in 17 seconds.
- Data upgrade step 32/59, NetworkAccessUpgrade(1.3.0.458)... Done in 0 seconds.
- Data upgrade step 33/59, NSFUpgradeService(1.3.0.461)... Done in 0 seconds.
- Data upgrade step 34/59, CertMgmtUpgradeService(1.3.0.462)... Done in 3 seconds.
- Data upgrade step 35/59, NetworkAccessUpgrade(1.3.0.476)... Done in 0 seconds.
- Data upgrade step 36/59, NSFUpgradeService(1.3.0.508)... Done in 0 seconds.
- Data upgrade step 37/59, RBACUpgradeService(1.3.0.509)... Done in 17 seconds.
- Data upgrade step 38/59, NSFUpgradeService(1.3.0.526)... Done in 0 seconds.
- Data upgrade step 39/59, NSFUpgradeService(1.3.0.531)... Done in 0 seconds.
- Data upgrade step 40/59, MDMUpgradeService(1.3.0.536)... Done in 0 seconds.
- Data upgrade step 41/59, NSFUpgradeService(1.3.0.554)... Done in 0 seconds.
- Data upgrade step 42/59, NetworkAccessUpgrade(1.3.0.561)... Done in 4 seconds.
- Data upgrade step 43/59, RBACUpgradeService(1.3.0.563)... Done in 20 seconds.
- Data upgrade step 44/59, CertMgmtUpgradeService(1.3.0.615)... Done in 0 seconds.
- Data upgrade step 45/59, CertMgmtUpgradeService(1.3.0.616)... Done in 22 seconds.
- Data upgrade step 46/59, CertMgmtUpgradeService(1.3.0.617)... Done in 2 seconds.
- Data upgrade step 47/59, OcspServiceUpgradeRegistration(1.3.0.617)... Done in 0 seconds.
- Data upgrade step 48/59, NSFUpgradeService(1.3.0.630)... Done in 0 seconds.
- Data upgrade step 49/59, NSFUpgradeService(1.3.0.631)... Done in 0 seconds.
- Data upgrade step 50/59, CertMgmtUpgradeService(1.3.0.634)... Done in 0 seconds.
- Data upgrade step 51/59, RBACUpgradeService(1.3.0.650)... Done in 8 seconds.
- Data upgrade step 52/59, CertMgmtUpgradeService(1.3.0.653)... Done in 0 seconds.
- Data upgrade step 53/59, NodeGroupUpgradeService(1.3.0.655)... Done in 1 seconds.
- Data upgrade step 54/59, RBACUpgradeService(1.3.0.670)... Done in 4 seconds.
- Data upgrade step 55/59, ProfilerUpgradeService(1.3.0.670)... Done in 0 seconds.
- Data upgrade step 56/59, NSFUpgradeService(1.3.0.676)... Done in 0 seconds.
- Data upgrade step 57/59, AuthzUpgradeService(1.3.0.676)... Done in 10 seconds.
- Data upgrade step 58/59, GuestAccessUpgradeService(1.3.0.676)... ...Done in 231 seconds.
- Data upgrade step 59/59, ProvisioningUpgradeService(1.3.105.181)... Done in 51 seconds.
STEP 7: Running ISE configuration data upgrade for node specific data...
STEP 8: Running ISE M&T DB upgrade...
ISE Database Mnt schema upgrade completed.
 
Gathering Config schema(CEPM) stats ...... 
Gathering Operational schema(MNT) stats ..... 
Stopping ISE Database processes...
% NOTICE: The appliance will reboot twice to upgrade software and ADE-OS. During this time progress of the upgrade is visible on console. It could take up to 30 minutes for this to complete.
Rebooting to do Identity Service Engine upgrade...

backup

Cisco ISE と Cisco ADE OS データを含むバックアップを実行して、そのバックアップをリポジトリに保存するには、EXEC モードで backup コマンドを使用します。


(注)  


EXEC モードで backup コマンドを使用する前に、実行コンフィギュレーションをネットワーク サーバなどの安全な場所にコピーするか、Cisco ISE サーバ スタートアップ コンフィギュレーションとして保存する必要があります。このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE を復元またはトラブルシューティングする際に使用できます。

backup [{backup-name} repository {repository-name} ise-configencryption-key hash| plain {encryption-key name}]

backup [{backup-name} repository {repository-name} ise-operationalencryption-keyhash| plain {encryption-key name}]


構文の説明

backup-name

バックアップ ファイルの名前。最大 100 文字の英数字をサポートします。

リポジトリ

バックアップ ファイルを保存するリポジトリを指定します。

repository-name

ファイルをバックアップする場所。最大 80 文字の英数字をサポートします。

ise-config

Cisco ISE 設定データ(Cisco ISE ADE-OS を含む)をバックアップします。

ise-operational

Cisco ISE 動作データをバックアップします。

encryption-key

バックアップを保護するユーザ定義の暗号化キーを指定します。

hash

使用する暗号化された(ハッシュされた)暗号キーを指定(バックアップ保護のためのハッシュ暗号キー)します。40 文字までで指定します。

plain

使用する暗号化されていないプレーン テキスト暗号キーを指定(バックアップ保護のためのプレーン テキスト暗号キー)します。15 文字までで指定します。

encryption-key name

バックアップ用のハッシュ/プレーン フォーマットの暗号キー。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

暗号化された(ハッシュされた)パスワードまたは暗号化されていないプレーン テキストのパスワードと ise-config によって、リポジトリへの Cisco ISE と Cisco ADE OS データのバックアップを実行する際に、ユーザ定義の暗号キーを使用してバックアップを暗号化および復号化できるようになりました。Cisco ADE OS データを含まない Cisco ISE アプリケーション データのみのバックアップを実行するには、ise-operational コマンドを使用します。

プライマリまたはセカンダリ モニタリング ノードからのみ Cisco ISE 動作データをバックアップできます。

重要:

バックアップと復元を行う場合、復元では、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストで上書きされます。バックアップおよび復元機能に内部認証局(CA)の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。

1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。

  • オプション 1:

    CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲット システムに CLI を使用してインポートします。

    長所:ソース システムからエンドポイントに発行されたすべての証明書が引き続き信頼されます。ターゲット システムによって発行された新しい証明書は、同じキーによって署名されます。

    短所:復元機能を使用する前にターゲット システムによって発行された証明書は信頼されないため、再発行する必要があります。

  • オプション 2:

    復元処理の後、内部 CA のすべての新しい証明書を生成します。

    長所:このオプションは推奨される適切な方法です。元のソースの証明書も元のターゲットの証明書も使用されません。元のソース システムによって発行された証明書は引き続き信頼されます。

    短所:復元機能を使用する前にターゲット システムによって発行された証明書は信頼されないため、再発行する必要があります。

Cisco ISE 設定データのバックアップ

Cisco ISE 設定データをバックアップするには、次のコマンドを使用します。

backupmybackuprepositorymyrepositoryise-configencryption-keyplainlablab12


ise/admin# backup test repository disk ise-config encryption-key plain Test_1234 
Internal CA Store is not included in this backup. It is recommended to export it using "application configure ise" CLI command 
Creating backup with timestamped filename: test-CFG-141006-1350.tar.gpg 
backup in progress: Starting Backup...10% completed 
backup in progress: Validating ISE Node Role...15% completed
backup in progress: Backing up ISE Configuration Data...20% completed
backup in progress: Backing up ISE Logs...45% completed
backup in progress: Completing ISE Backup Staging...50% completed
backup in progress: Backing up ADEOS configuration...55% completed 
backup in progress: Moving Backup file to the repository...75% completed 
backup in progress: Completing Backup...100% completed
ise/admin#

Cisco ISE 動作データのバックアップ

Cisco ISE 動作データをバックアップするには、次のコマンドを使用します。

backupmybackuprepositorymyrepositoryise-operationalencryption-key plainlablab12


ise/admin# backup mybackup repository myrepository ise-operational encryption-key plain lablab12
backup in progress: Starting Backup...10% completed
Creating backup with timestamped filename: mybackup-OPS-130103-0019.tar.gpg
backup in progress: starting dbbackup using expdp.......20% completed
backup in progress: starting cars logic.......50% completed
backup in progress: Moving Backup file to the repository...75% completed
backup in progress: Completing Backup...100% completed
ise/admin#

backup-logs

システム ログをバックアップするには、EXEC モードで backup-logs コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。


(注)  


EXEC モードで backup-logs コマンドを使用する前に、実行コンフィギュレーションをネットワーク サーバなどの安全な場所にコピーするか、Cisco ISE サーバ スタートアップ コンフィギュレーションとして保存する必要があります。このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE を復元またはトラブルシューティングする際に使用できます。

backup-logs [{backup-name} repository {repository-name} encryption-key hash | plain{encryption-key name}]


構文の説明

backup-name

バックアップする 1 つまたは複数のファイルの名前。最大 100 文字の英数字をサポートします。

リポジトリ

リポジトリ コマンド。

repository-name

ファイルをバックアップする場所。最大 80 文字の英数字をサポートします。

encryption-key

暗号キーを指定して、バックアップ ログを保護します。

hash

バックアップ ログを保護するためのハッシュされた暗号キー。使用する暗号化された(ハッシュ化された)暗号化キーを指定します。40 文字までで指定します。

plain

バックアップ ログを保護するためのプレーン テキスト暗号キー。使用する暗号化されたプレーンテキストの暗号化キーを指定します。15 文字までで指定します。

encryption-key name

hash | plain 形式の暗号キー。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

暗号化された(ハッシュされた)、または暗号化されていないプレーン テキストのパスワード使用して、システム ログをバックアップします。


ise/admin# backup-logs Test repository disk encryption-key plain Test_1234 
% Creating log backup with timestamped filename: Test-141006-1351.tar.gpg 
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed 
% supportbundle in progress: Completing support bundle generation......100% completed
ise/admin#

clock

システム クロックを設定するには、EXEC モードで clock コマンドを使用します。システム クロックの設定をディセーブルにするには、このコマンドの no 形式を使用します。

clock [ set {month | day | hh:min:ss | yyyy}]

構文の説明

設定

システム クロックを設定します。

month

現在の月の名前。3 文字までの英字をサポートします。たとえば、January は Jan と指定します。

day

現在の日(日付)。有効な値は 0 ~ 31 の範囲です。最大 2 桁の数字をサポートします。

hh:mm:ss

現在の時間(24 時間形式)、分、および秒。

yyyy

現在の年(短縮表記しない)。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン


注意    


Cisco ISE アプライアンスのシステム時刻を変更すると、Cisco ISE アプリケーションを使用できなくなります。

システム クロックを設定します。変更を有効にするには、クロックをリセット後に Cisco ISE サーバを再起動する必要があります。システム時間を変更した場合、導入の異なる Cisco ISE ノード タイプに影響を与えます。

影響から回復するには、次の手順を使用します。

スタンドアロンまたはプライマリ ISE ノード


(注)  


インストール後のシステム時刻の変更は、スタンドアロンまたはプライマリ ISE ノードでサポートされていません。

誤ってシステム時刻を変更した場合は、次の手順を実行します。

  • 元のシステム時刻(変更される前の時刻)に戻します。

  • そのノードの CLI から application reset-configise コマンドを実行します。

  • そのノードで時刻が変更される前の、正常な既知の最終バックアップから復元します。

セカンダリ ISE ノード


(注)  


セカンダリ ノードでシステム時刻を変更すると、導入に使用できなくなります。

プライマリ ノードとセカンダリ ノードのシステム時刻を同期するには、次の手順を実行します。

  • セカンダリ ISE ノードを登録解除します。

  • プライマリ ISE ノードと同期するようにシステム時刻を修正します。

  • プライマリ ISE ノードの CLI から application reset-configise コマンドを実行します。

  • プライマリ ISE ノードにセカンダリ ISE ノードとして ISE ノードを再登録します。


    (注)  


    インストール時に設定された正しいシステム時刻に確実に設定されるように、セットアップ ウィザードによってネットワーク タイム プロトコル(NTP)サーバの指定が要求され、このサーバとの同期が試行されます。セットアップ中に設定された NTP サーバが常に到達可能であり、システム時刻が常に正確さを保つようにする必要があります。これは、特に、電源の障害や CMOS バッテリの障害によって BIOS 時刻が破損するというまれな状況において重要です。この場合、リブート時に Cisco ADE-OS のシステム時刻が破損するおそれがあります。セットアップ中に NTP サーバを設定しない場合は、『Cisco Identity Services Engine Hardware Installation Guide』に記載されているように、システムの BIOS 時刻が協定世界時(UTC)時間帯を基準にして設定されていることを確認する必要があります。



ise/admin# clock set August 30 18:07:20 2013
ise/admin# show clock
Fri Aug 30 18:07:26 UTC 2013
ise/admin#

configure

コンフィギュレーション モードを開始するには、EXEC モードで configure コマンドを使用します。

configure terminal

構文の説明

terminal

コンフィギュレーション コマンドを端末から実行します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

コンフィギュレーション モードを開始するには、このコマンドを使用します。このモードのコマンドは、入力するとすぐに、実行コンフィギュレーション ファイルへの書き込みを行うことに注意してください。

コンフィギュレーション モードを終了して EXEC モードに戻るには、end または exit と入力するか、Ctrl+z を押します。

コンフィギュレーションに加えた変更内容を表示するには、EXEC モードで show running-config コマンドを使用します。

このコマンドで replace オプションを使用すると、システムにリモート コンフィギュレーションがコピーされ、既存のコンフィギュレーションが上書きされます。


ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)#

copy

ファイルをコピー元からコピー先にコピーするには、EXEC モードで copy コマンドを使用します。


(注)  


copy コマンドは、ローカル ディスクに対してだけサポートされており、リポジトリに対してはサポートされていません。


構文の説明

running-config

現在の実行コンフィギュレーション ファイルを表します。

startup-config

初期化(スタートアップ)時に使用されたコンフィギュレーション ファイルを表します。

プロトコル

コピーの宛先。protocol のキーワード オプションについては、表 2-1 を参照してください。

hostname

コピー先のホスト名。

場所

コピー先の場所。

現在の実行コンフィギュレーション ファイルを表します。

logs

システムのログ ファイル。

すべて

すべての Cisco ISE ログ ファイルをシステムから別の場所にコピーします。すべてのログは、iselogs.tar.gz としてパッケージ化され、リモート ホストの指定されたディレクトリに転送されます。

filename

単一の Cisco ISE ログ ファイルをコピーし、そのファイルをリモート ホストにある指定されたディレクトリに、元の名前で転送できます。

log_filename

show logs コマンドによって表示される Cisco ISE ログ ファイルの名前(255 文字以内)。

mgmt

Cisco ISE 管理デバッグ ログと Tomcat ログをシステムからコピーし、mgmtlogs.tar.gz としてバンドルしたうえで、リモート ホスト上の指定されたディレクトリに転送します。

runtime

Cisco ISE ランタイム デバッグ ログをシステムからコピーし、runtimelogs.tar.gz としてバンドルしたうえで、リモート ホスト上の指定されたディレクトリに転送します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

Cisco ISE の copy コマンドは、システムの実行コンフィギュレーションまたはスタートアップ コンフィギュレーション、およびログ ファイルを別の場所にコピーします。

copy コマンドの基本的な機能として、1 つの場所から別の場所に、ファイル(システム イメージやコンフィギュレーション ファイルなど)をコピーできます。指定したファイルのコピー元およびコピー先には、Cisco ISE ファイル システムを使用して、サポートされているローカルまたはリモート ファイルの場所を指定できます。使用されているファイル システム(ローカル メモリ ソースまたはリモート システム)によって、コマンドで使用される構文が決定されます。

必要なすべてのコピー元とコピー先の情報、および使用するユーザ名とパスワードを入力できます。または、copy コマンドを入力して、不足情報がある場合にサーバにプロンプトを表示させることもできます。

コピー プロセスが完全に完了するまでには、数分間かかることがあります。これは、使用しているプロトコルやネットワークによって異なります。

ファイル転送には、ディレクトリに対する相対ファイル名を使用します。

考えられるエラーは標準ファイル転送プロトコル(FTP)またはセキュア コピー(SCP)のエラー メッセージです。

表 1 表 2-1 protocol のプレフィクス キーワード(続き)

キーワード

コピー元またはコピー先

FTP

FTP ネットワーク サーバのコピー元またはコピー先の URL。このエイリアスの構文:

ftp:[[[//username [:password]@]location]/directory]/filename

scp

SCP ネットワーク サーバのコピー元またはコピー先の URL。このエイリアスの構文:

scp:[[[//username [:password]@]location]/directory]/filename

sftp

SFTP ネットワーク サーバのコピー元またはコピー先の URL。このエイリアスの構文:

sftp:[[//location]/directory]/filename

tftp

TFTP ネットワーク サーバのコピー元またはコピー先の URL。このエイリアスの構文:

tftp:[[//location]/directory]/filename

実行コンフィギュレーション

Cisco ISE のアクティブなコンフィギュレーションでは、そのコンフィギュレーション自体が Cisco ISE RAM に保存されます。入力するすべてのコンフィギュレーション コマンドは、実行コンフィギュレーションに含まれます。Cisco ISE サーバをリブートすると、実行コンフィギュレーションが失われます。加えた変更を保存する場合は、実行コンフィギュレーションをネットワーク サーバなどの安全な場所にコピーするか、Cisco ISE サーバのスタートアップ コンフィギュレーションとして保存する必要があります。

実行コンフィギュレーションを保存しない場合、次回 Cisco ISE サーバをリブートしたときに、コンフィギュレーションに加えた変更がすべて失われます。現在のコンフィギュレーションが正しいことが確認できたら、copy run start コマンドを使用して、コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。


(注)  


エイリアスを使用すると必要な入力文字数が減ります。たとえば、copy run と入力して Tab キーを押し、start と入力して Tab キー押します(copy running-config startup-config コマンドの省略形)。

スタートアップ コンフィギュレーションを実行コンフィギュレーションに置き換えるには、次のコマンドを使用します。

copy run start

実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーするには、次のコマンドを使用します。

copy running-config startup-config

実行コンフィギュレーションの上部にスタートアップ コンフィギュレーションをマージするには、次のコマンドを使用します。

copy start run

例 1


ise/admin# copy run start
Generating configuration...
ise/admin#

例 2


ise/admin# copy running-config startup-config
Generating configuration...
ise/admin#

リモート ロケーションへの実行コンフィギュレーションのコピー

実行コンフィギュレーションをリモート システムにコピーするには、次のコマンドを使用します。

copy running-config [protocol://hostname/location]

リモート ロケーションからの実行コンフィギュレーションのコピー

実行コンフィギュレーションにリモート ファイルをコピーしてマージするには、次のコマンドを使用します。

copy [protocol://hostname/location] running-config:実行コンフィギュレーションにリモート ファイルをコピーしてマージします。

スタートアップ コンフィギュレーション

スタートアップ コンフィギュレーションは直接編集できません。入力するすべてのコマンドは、実行コンフィギュレーションに保存され、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすることができます。

つまり、Cisco ISE サーバをブートすると、スタートアップ コンフィギュレーションが最初の実行コンフィギュレーションとなります。コンフィギュレーションを変更すると、実行コンフィギュレーションは更新されますがスタートアップ コンフィギュレーションは変更されないため、2 つのコンフィギュレーションに差異が生じます。変更を永続的なものにするには、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーする必要があります。

スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーするには、次のコマンドを使用します。

copy startup-config running-config

例 1


ise/admin# copy start run
ise/admin#

例 2


ise/admin# copy startup-config running-config
ise/admin#

リモート ロケーションへのスタートアップ コンフィギュレーションのコピー

スタートアップ コンフィギュレーションをリモート システムにコピーするには、次のコマンドを使用します。

copy startup-config [protocol://hostname/location]

リモート ロケーションからのスタートアップ コンフィギュレーションのコピー

リモート ファイルをスタートアップ コンフィギュレーションにコピーしてもマージしない場合は、次のコマンドを使用します。

copy [protocol://hostname/location] startup-config:リモート ファイルをスタートアップ コンフィギュレーションにコピーしますが、マージしません。

ログ ファイルのコピー

Cisco ISE システムから別の場所にログ ファイルをコピーするには、次の copy コマンドを使用します。

copy logs [protocol://hostname/location]

例 1

ログ ファイルをローカル ディスクにコピーするには、次のコマンドを使用します。


ise/admin# copy logs disk:/
 Collecting logs...
ise/admin#

例 2

ログ ファイルを別の場所にコピーするには、次のコマンドを使用します。


ise/admin# copy disk://mybackup-100805-1910.tar.gz ftp://myftpserver/mydir
Username:
Password:
ise/admin#

crypto

新しい公開キー ペアを生成して現在の公開キーをリポジトリにエクスポートし、公開キーを許可キー リストにインポートするには、EXEC モードで crypto コマンドを使用します。公開キー情報を確認し、指定したキーを削除することもできます。

crypto key [ delete {hash | authorized_keys | rsa}]

crypto key [ export {filename | repository}]

crypto key [ generate {rsa}]

crypto key [ import {filename | repository}]

構文の説明

key

暗号キー操作を実行できます。

削除

公開キー/秘密キー ペアを削除します。

hash

ハッシュ値。80 文字までで指定します。

authorized_keys

許可キーを削除します。

rsa

RSA キー ペアを削除します。

export

リポジトリに公開キー/秘密キー ペアをエクスポートします。

filename

公開キーをエクスポートするファイル名。80 文字までで指定します。

リポジトリ

公開キーをエクスポートするリポジトリ。

generate

公開/秘密キー ペアを生成します。

rsa

RSA キー ペアを生成します。

import

公開キー/秘密キー ペアをインポートします。

filename

公開キーをインポートするファイル名。80 文字までで指定します。

リポジトリ

公開キーをインポートするリポジトリ。

host_key

ホスト キー操作を実行できます。

追加

信頼できるホストのキーを追加します。

ホスト

ホスト名を指定します。

削除

信頼できるホストのキーを削除します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

Cisco ADE OS では、管理者およびユーザの ID への SSH アクセスのためにパスワードなしの公開キー認証をサポートします。

現在のユーザ用に 2048 ビット長の新しい公開キー/秘密キー ペアを生成するには、crypto key generate rsa コマンドを使用します。キー属性は固定で、RSA キー タイプをサポートしています。キー ペアがすでにある場合は、パスフレーズを使用して続行する前に上書きを許可するようにメッセージが表示されます。パスフレーズを入力すると、公開/秘密キーにアクセスするたびにパスフレーズを入力するように促されます。パスフレーズが空の場合は、それ以降、パスフレーズを入力するよう促されません。

例 1


ise/admin# crypto key generate rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key
admin public key: ssh-rsa ad:14:85:70:fa:c3:c1:e6:a9:ff:b1:b0:21:a5:28:94 admin@ise
ise/admin# crypto key generate rsa
Private key for user admin already exists. Overwrite? y/n [n]: y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
ise/admin# show crypto key 
admin public key: ssh-rsa 41:ab:78:26:48:d3:f1:6f:45:0d:99:d7:0f:50:9f:72 admin@ise
ise/admin# crypto key export mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin# crypto key delete  f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4
ise/admin#
ise/admin# crypto key delete rsa
ise/admin# show crypto key
ise/admin#
ise/admin# show crypto authorized_keys
Authorized keys for admin
ise/admin# crypto key delete authorized_keys
ise/admin# show crypto authorized_keys
ise/admin#
ise/admin# crypto key import mykey_rsa repository myrepository
ise/admin# show crypto key
admin public key: ssh-rsa f8:7f:8a:79:44:b8:5d:5f:af:e1:63:b2:be:7a:fd:d4 admin@ise
ise/admin#

例 2


ise/admin# crypto host_key add host ise
host key fingerprint added
# Host ise found: line 1 type RSA
2048 1d:72:73:6e:ad:f7:2d:11:ac:23:e7:8c:81:32:c5:ea ise (RSA)
ise/admin#
ise/admin# crypto host_key delete host ise
host key fingerprint for ise removed
ise/admin#

debug

実行したコマンドのエラーまたはイベントを表示するには、EXEC モードで debug コマンドを使用します。

debug [ all | application | backup-restore | cdp | config | copy | icmp | locks | logging | snmp | system | transfer | user | utils]

構文の説明

すべて

すべてのデバッグをイネーブルにします。

アプリケーション

アプリケーション関連のエラーまたはイベントのデバッグをイネーブルにします。

  • all:すべてのアプリケーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • install:アプリケーションのインストールのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • operation:アプリケーション操作のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • uninstall:アプリケーションのアンインストールのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

backup-restore

バックアップと復元関連のエラーまたはイベントのデバッグをイネーブルにします。

  • all:バックアップおよび復元で、すべてのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • backup:バックアップおよび復元で、バックアップのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • backup-logs:バックアップおよび復元で、バックアップ ログのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • history:バックアップおよび復元で、履歴のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • restore:バックアップおよび復元で、復元のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

CDP

Cisco Discovery Protocol 設定関連のエラーまたはイベントのデバッグをイネーブルにします。

  • all:すべての Cisco Discovery Protocol コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • config:Cisco Discovery Protocol のコンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • infra:Cisco Discovery Protocol のインフラストラクチャのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

config

Cisco ISE 設定関連のエラーまたはイベントのデバッグをイネーブルにします。

  • all:すべてのコンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • backup:バックアップ コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • clock:クロック コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • infra:コンフィギュレーション インフラストラクチャのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • kron:コマンド スケジューラ コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • network:ネットワーク コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • repository:リポジトリ コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • service:サービス コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

copy

copy コマンドのデバッグをイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

icmp

インターネット制御メッセージ プロトコル(ICMP)エコー応答の設定に関連するエラーまたはイベントのデバッグをイネーブルにします。

all:ICMP エコー応答のコンフィギュレーションのすべてのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

locks

リソース ロック関連のエラーまたはイベントのデバッグをイネーブルにします。

  • all:すべてのリソース ロッキングのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • file:ファイル ロッキングのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

logging

ロギング コンフィギュレーション関連のエラーまたはイベントのデバッグをイネーブルにします。

all:すべてのロギング コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

snmp

SNMP 設定関連のエラーまたはイベントのデバッグをイネーブルにします。

all:すべての SNMP コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

system

Cisco ISE システム関連のエラーおよびイベントのデバッグをイネーブルにします。

  • all:すべてのシステム ファイルのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • id:システム ID のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • info:システム情報のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • init:システムの初期化のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

転送

ファイル転送のデバッグをイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

user

ユーザ管理のデバッグをイネーブルにします。

  • all:すべてのユーザ管理のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

  • password-policy:パスワードポリシーのユーザ管理のデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

utils

ユーティリティ設定関連のエラーまたはイベントのデバッグをイネーブルにします。

all:すべてのユーティリティ コンフィギュレーションのデバッグ出力をイネーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

セットアップやコンフィギュレーションのエラーなど、Cisco ISE サーバ内のさまざまなエラーまたはイベントを表示するには、debug コマンドを使用します。


ise/admin# debug all
ise/admin# mkdir disk:/1
ise/admin# 6 [15347]: utils: vsh_root_stubs.c[2742] [admin]: mkdir operation success
ise/admin# rmdir disk:/1
6 [15351]: utils: vsh_root_stubs.c[2601] [admin]: Invoked Remove Directory disk:/1 command
6 [15351]: utils: vsh_root_stubs.c[2663] [admin]: Remove Directory operation success
ise/admin#
ise/admin# undebug all
ise/admin#

削除

Cisco ISE サーバからファイルを削除するには、EXEC モードで delete コマンドを使用します。Cisco ISE サーバからのファイルの削除を取り消すには、このコマンドの no 形式を使用します。

delete [filename disk:/path]

構文の説明

filename

[ファイル名(Filename)]:最大 80 文字の英数字をサポートします。

disk:/path

リポジトリ内のファイルの場所。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

コンフィギュレーション ファイルまたはイメージを削除しようとすると、削除を確認するためのプロンプトが表示されます。また、最新の有効なシステム イメージを削除しようとした場合も、削除を確認するためのプロンプトが表示されます。


ise/admin# delete disk:/hs_err_pid19962.log
ise/admin#

dir

Cisco ISE サーバ上のファイルを一覧表示するには、EXEC モードで dir コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。

dir

dirdisk:/logs

dir recursive

構文の説明

directory-name

ディレクトリ名。最大 80 文字の英数字をサポートします。ディレクトリ名の前には disk:/ を指定する必要があります。

recursive

(任意)。ローカル ファイル システムのディレクトリとファイルを一覧表示します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

なし。

例 1


ise/admin# dir
Directory of disk:/
    2034113 Aug 05 2010 19:58:39 ADElogs.tar.gz
       4096 Jun 10 2010 02:34:03 activemq-data/
       4096 Aug 04 2010 23:14:53 logs/
      16384 Jun 09 2010 02:59:34 lost+found/
    2996022 Aug 05 2010 19:11:16 mybackup-100805-1910.tar.gz
       4096 Aug 04 2010 23:15:20 target/
       4096 Aug 05 2010 12:25:55 temp/
Usage for disk: filesystem
                 8076189696 bytes total used
                 6371618816 bytes free
                15234142208 bytes available
ise/admin#

例 2


ise/admin# dir disk:/logs
0 Aug 05 2010 11:53:52 usermgmt.log
Usage for disk: filesystem
                 8076189696 bytes total used
                 6371618816 bytes free
                15234142208 bytes available
ise/admin#

例 3


ise/admin# dir recursive
Directory of disk:/
    2034113 Aug 05 2010 19:58:39 ADElogs.tar.gz
       4096 Jun 10 2010 02:34:03 activemq-data/
       4096 Aug 04 2010 23:14:53 logs/
      16384 Jun 09 2010 02:59:34 lost+found/
    2996022 Aug 05 2010 19:11:16 mybackup-100805-1910.tar.gz
       4096 Aug 04 2010 23:15:20 target/
       4096 Aug 05 2010 12:25:55 temp/
Directory of disk:/logs
Directory of disk:/temp
Directory of disk:/activemq-data
Directory of disk:/activemq-data/localhost
Directory of disk:/activemq-data/localhost/journal
Directory of disk:/activemq-data/localhost/kr-store
Directory of disk:/activemq-data/localhost/kr-store/data
Directory of disk:/activemq-data/localhost/kr-store/state
Directory of disk:/activemq-data/localhost/tmp_storage
Directory of disk:/target
Directory of disk:/target/logs
Directory of disk:/lost+found
Usage for disk: filesystem
                 8076189696 bytes total used
                 6371618816 bytes free
                15234142208 bytes available
ise/admin#

exit

Cisco ISE サーバからのログアウトによってアクティブなターミナル セッションを終了するか、コンフィギュレーション モードから 1 つ上のモード レベルに移行するには、EXEC モードで exit コマンドを使用します。

このコマンドには、キーワードおよび引数はありません。

exit

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC


ise/admin# config t
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# exit
ise/admin#

forceout

ユーザを Cisco ISE サーバからログアウトさせることで、アクティブなターミナル セッションを強制的に終了させるには、EXEC モードで forceout コマンドを使用します。

forceoutusername

構文の説明

username

ユーザ名。最大 31 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

ユーザのアクティブなセッションを強制的に終了させるには、EXEC モードで forceout コマンドを使用します。


ise/admin# forceout user1
ise/admin#

halt

システムをシャットダウンしてシステムの電源を切るには、EXEC モードで halt コマンドを使用します。

このコマンドには、キーワードおよび引数はありません。

halt

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

halt コマンドを実行する前に、Cisco ISE が、バックアップ、復元、インストール、アップグレード、または削除操作を実行中でないことを確認します。Cisco ISE がこれらの操作を行っている間に halt コマンドを実行すると、次のいずれかの警告メッセージが表示されます。


WARNING: A backup or restore is currently in progress! Continue with halt?
WARNING: An install/upgrade/remove is currently in progress! Continue with halt?

これらのいずれかの警告が表示された場合、停止操作を続行するには Yes と入力し、停止をキャンセルするには No と入力します。

halt コマンドの使用時に他のプロセスが実行されていない場合、または表示される警告メッセージに応じて Yes と入力した場合は、次の質問に応答する必要があります。


Do you want to save the current configuration?

Yes を入力して既存の Cisco ISE コンフィギュレーションを保存すると、次のメッセージが表示されます。


Saved the running configuration to startup successfully


ise/admin# halt
ise/admin#

ヘルプ

Cisco ISE サーバの対話型のヘルプ システムを表示するには、EXEC モードで help コマンドを使用します。

このコマンドには、キーワードおよび引数はありません。

ヘルプ

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC およびすべてのコンフィギュレーション(config)。

使用上のガイドライン

help コマンドを実行すると、状況依存ヘルプ システムの簡単な説明が表示されます。

  • 特定のコマンド モードで使用可能なすべてのコマンドを一覧表示するには、システム プロンプトで疑問符(?)を入力します。

  • 特定の文字列で始まるコマンドのリストを取得するには、省略形のコマンド エントリと直後に ? を入力します。このヘルプの形式は、入力された省略形で始まるキーワードまたは引数だけ一覧表示するので、ワード ヘルプと呼ばれます。

  • コマンドに関連付けられたキーワードおよび引数の一覧を表示するには、キーワードまたは引数の代わりに ? をコマンドラインに入力します。このヘルプの形式は、入力したコマンド、キーワード、および引数に基づいて適用されるキーワードまたは引数を一覧表示するので、コマンド構文ヘルプと呼ばれます。


ise/admin# help
Help may be requested at any point in a command by entering
a question mark '?'. If nothing matches, the help list will
be empty and you must backup until entering a '?' shows the
available options.
Two styles of help are provided:
1. Full help is available when you are ready to enter a
   command argument (e.g. 'show?') and describes each possible
   argument.
2. Partial help is provided when an abbreviated argument is entered
   and you want to know what arguments match the input
   (e.g. 'show pr?'.)
ise/admin#

mkdir

Cisco ISE サーバに新しいディレクトリを作成するには、EXEC モードで mkdir コマンドを使用します。

mkdirdirectory-name

構文の説明

directory-name

作成するディレクトリの名前。最大 80 文字の英数字をサポートします。disk:/directory-name を使用します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

disk:/directory-name を使用してください。使用しないと、disk:/directory-name を含める必要があることを示すエラーが表示されます。


ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
       4096 May 06 2010 13:34:49 activemq-data/
       4096 May 06 2010 13:40:59 logs/
      16384 Mar 01 2010 16:07:27 lost+found/
       4096 May 06 2010 13:42:53 target/
       4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
                  181067776 bytes total used
                19084521472 bytes free
                20314165248 bytes available
ise/admin#

nslookup

Cisco ISE サーバにあるリモート システムのホスト名を検索するには、EXEC モードで nslookup コマンドを使用します。

nslookup {ip-address|hostname}

nslookup [ {ip-address|hostname} name-server {ip-address}]

nslookup [ {ip-address|hostname} querytype AAAA]

構文の説明

ip-address

リモート システムの IPv4 または IPv6 アドレス。最大 64 文字の英数字をサポートします。

hostname

リモート システムのホスト名。最大 64 文字の英数字をサポートします。

AAAA

Web サイト名に対応する IPv6 アドレスのインターネット ドメイン ネーム サーバを照会します。

name-server

代替ネーム サーバを指定します。最大 64 文字の英数字をサポートします。

querytype

リモート システムの IPv4 または IPv6 アドレス、あるいはホスト名を問い合わせます。これには、PTR、A、AAAA、SRV のようなクエリー タイプも含まれます。最大 16 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

例 1


ise/admin# nslookup 1.2.3.4
Trying "4.3.2.1.in-addr.arpa"
Received 127 bytes from 171.70.168.183#53 in 1 ms
Trying "4.3.2.1.in-addr.arpa"
Host 4.3.2.1.in-addr.arpa. not found: 3(NXDOMAIN)
Received 127 bytes from 171.70.168.183#53 in 1 ms
ise/admin#

例 2


ise/admin# nslookup ipv6.google.com querytype AAAA
Server:         10.106.230.244
Address:        10.106.230.244#53
Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com.
ipv6.l.google.com       has AAAA address 2404:6800:4007:803::1001
Authoritative answers can be found from:
google.com      nameserver = ns4.google.com.
google.com      nameserver = ns3.google.com.
google.com      nameserver = ns2.google.com.
google.com      nameserver = ns1.google.com.
ns1.google.com  internet address = 216.239.32.10
ns2.google.com  internet address = 216.239.34.10
ns3.google.com  internet address = 216.239.36.10
ns4.google.com  internet address = 216.239.38.10
ise/admin#

password

CLI アカウントのパスワードを更新するには、EXEC モードで password コマンドを使用します。

password

構文の説明

Enter old password

現在の CLI パスワードを入力します。

Enter new password

新しい CLI パスワードを入力します。

Confirm new password

新しい CLI パスワードを確認します。

コマンド モード

EXEC


ise/admin# password
Enter old password:
Enter new password:
Confirm new password:
ise/admin#

patch install

patch install コマンドを使用してパッチをインストールする前に、そのパッチに付随するリリース ノートでパッチのインストール手順を参照してください。リリース ノートには、重要な更新手順が含まれており、従う必要があります。

特定のノードで CLI からアプリケーションのパッチ バンドルをインストールするには、EXEC モードで patch install コマンドを使用します。

patch installpatch-bundlerepository


(注)  


Cisco ISE 分散展開環境では、パッチ バンドルがすべてのセカンダリ ノードで自動的にインストールされるように、管理者ポータルからパッチ バンドルをインストールします。


構文の説明

install

アプリケーションの特定のパッチ バンドルをインストールします。

patch-bundle

パッチ バンドルのファイル名。最大 255 文字の英数字をサポートします。

リポジトリ

指定したリポジトリ名にパッチをインストールします。最大 255 文字の英数字をサポートします。

展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、パッチをインストールする前にディセーブルにしてください。展開内のすべてのノードでパッチ インストールが完了したら、PAN の自動フェールオーバー設定をイネーブルにします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

アプリケーションの特定のパッチ バンドルをインストールします。

既存のパッチの古いバージョンであるパッチをインストールしようとすると、次のエラー メッセージが表示されます。


% Patch to be installed is an older version than currently installed version.

CLI からパッチ インストールのステータスを確認する場合は、Cisco ISE サポート バンドルの ade.log ファイルを参照してください。

展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

PAN Auto Failover is enabled, this operation is 
not allowed! Please disable PAN Auto-failover first.

PAN の自動フェールオーバー設定をディセーブルにして、展開内のすべてのノードでパッチ インストールが完了したらイネーブルに戻します。

例 1


ise/admin# patch install ise-patchbundle-1.1.0.362-3.i386.tar.gz myrepository
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Initiating Application Patch installation...
Patch successfully installed
ise/admin#

例 2


ise/admin# patch install ise-patchbundle-1.1.0.362-3.i386.tar.gz myrepository
Do you want to save the current configuration? (yes/no) [yes]? no
Initiating Application Patch installation...
Patch successfully installed
ise/admin#

例 3


ise/admin# patch install ise-patchbundle-1.1.0.362-2.i386.tar.gz disk
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Initiating Application Patch installation...
% Patch to be installed is an older version than currently installed version.
ise/admin#

patch remove

patch remove コマンドを使用してパッチをロールバックする前に、そのパッチに付随するリリース ノートでパッチのロールバック手順を参照してください。リリース ノートには、重要な更新手順が含まれており、従う必要があります。

アプリケーションの特定のパッチ バンドルのバージョンを削除するには、EXEC モードで patch remove コマンドを使用します。

patch [ remove {application_name| version}]


(注)  


Cisco ISE 分散展開環境では、管理者ポータルからパッチ バンドルを削除すると、セカンダリ ノードから自動的にパッチが削除されます。


構文の説明

remove

アプリケーションの特定のパッチ バンドルのバージョンを削除するコマンド。

application_name

パッチが削除されるアプリケーションの名前。最大 255 文字の英数字をサポートします。

version

削除されるパッチ バージョン番号。最大 255 文字の英数字をサポートします。

展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、パッチを削除する前にディセーブルにしてください。パッチの削除が完了したら、PAN の自動フェールオーバー設定をイネーブルに戻すことができます。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

インストールされていないパッチを削除しようとすると、次のエラー メッセージが表示されます。


% Patch is not installed

展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

PAN Auto Failover is enabled, this operation is 
not allowed! Please disable PAN Auto-failover first.

例 1


ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
Application patch successfully uninstalled
ise/admin#

例 2


ise/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Patch is not installed
ise/admin#

ping

リモート システムとの基本的な IPv4 ネットワーク接続を診断するには、EXEC モードで ping コマンドを使用します。

ping {ip-address | hostname} [dfdf] [packetsizepacketsize] [pingcountpingcount]

構文の説明

ip-address

PING を実行するシステムの IP アドレス。最大 32 文字の英数字をサポートします。

hostname

PING を実行するシステムのホスト名。最大 32 文字の英数字をサポートします。

df

(任意)。パケット フラグメンテーションに関する指定。

df

パケット フラグメンテーションを禁止する場合は、値を 1 に指定し、ローカルにパケットをフラグメントする場合は 2、DF を設定しない場合は 3 に指定します。

packetsize

(任意)。PING パケットのサイズ。

packetsize

PING パケットのサイズを 0 ~ 65507 の範囲で指定します。

pingcount

(任意)。PING エコー要求の数。

pingcount

PING エコー要求の数を 1 ~ 10 の範囲で指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

ping コマンドは、エコー要求パケットをアドレスに送信して応答を待ちます。ping 出力は、ホストへのパスの信頼性、パスの遅延、ホストに到達可能かどうかを評価するのに役立ちます。


ise/admin# ping 172.16.0.1 df 2 packetsize 10 pingcount 2
PING 172.16.0.1 (172.16.0.1) 10(38) bytes of data.
18 bytes from 172.16.0.1: icmp_seq=0 ttl=40 time=306 ms
18 bytes from 172.16.0.1: icmp_seq=1 ttl=40 time=300 ms
--- 172.16.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 300.302/303.557/306.812/3.255 ms, pipe 2
ise/admin#

ping6

リモート システムとの基本的な IPv6 ネットワーク接続を診断するには、EXEC モードで ping6 コマンドを使用します。これは IPv4 の ping コマンドと類似しています。

ping6 {ip-address} [GigabitEthernet {0-3}][packetsize {packetsize}] [pingcount {pingcount}]

構文の説明

ip-address

PING を実行するシステムの IP アドレス。最大 64 文字の英数字をサポートします。

GigabitEthernet

(任意)。イーサネット インターフェイス。

0-3

イーサネット インターフェイスを選択します。

packetsize

(任意)。PING パケットのサイズ。

packetsize

PING パケットのサイズを 0 ~ 65507 の範囲で指定します。

pingcount

(任意)。PING エコー要求の数。

pingcount

PING エコー要求の数を 1 ~ 10 の範囲で指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

ping6 コマンドは、エコー要求パケットをアドレスに送信して応答を待ちます。ping 出力は、ホストへのパスの信頼性、パスの遅延、ホストに到達可能かどうかを評価するのに役立ちます。

ping6 コマンドは、既存の ping コマンドに類似しています。ping6 コマンドは、IPv4 のパケット フラグメンテーション(ping コマンドで説明されている df)オプションをサポートしませんが、必要に応じてインターフェイスを指定できます。インターフェイス オプションは、主にインターフェイス固有のアドレスであるリンクローカル アドレスとのピン接続に役立ちます。packetsize オプションと pingcount オプションは、ping コマンドの場合と同様に機能します。

例 1


ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 56 data bytes
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.599 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.150 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=2 ttl=64 time=0.070 ms
64 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=3 ttl=64 time=0.065 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3118ms
rat min./aft/max/endive = 0.065/0.221/0.599/0.220 ms, pipe 2
ise/admin#

例 2


ise/admin# ping6 3ffe:302:11:2:20c:29ff:feaf:da05 GigabitEthernet 0 packetsize 10 pingcount 2
PING 3ffe:302:11:2:20c:29ff:feaf:da05(3ffe:302:11:2:20c:29ff:feaf:da05) from 3ffe:302:11:2:20c:29ff:feaf:da05 eth0: 10 data bytes
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=0 ttl=64 time=0.073 ms
18 bytes from 3ffe:302:11:2:20c:29ff:feaf:da05: icmp_seq=1 ttl=64 time=0.073 ms
--- 3ffe:302:11:2:20c:29ff:feaf:da05 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1040ms
rat min./aft/max/endive = 0.073/0.073/0.073/0.000 ms, pipe 2
ise/admin#

reload

このコマンドには、キーワードおよび引数はありません。Cisco ISE オペレーティング システムをリブートするには、EXEC モードで reload コマンドを使用します。

reload

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

reload コマンドはシステムをリブートします。コンフィギュレーション情報をファイルに入力して、CLI で永続的なスタートアップ コンフィギュレーションに実行コンフィギュレーションを保存し、Cisco ISE 管理者ポータル セッションに設定を保存した後で、reload コマンドを使用します。

reload コマンドを実行する前に、Cisco ISE が、バックアップ、復元、インストール、アップグレード、または削除操作を実行中でないことを確認します。Cisco ISE がこれらの操作を行っている間に reload コマンドを実行すると、次のいずれかの警告メッセージが表示されます。


WARNING: A backup or restore is currently in progress! Continue with reload?
WARNING: An install/upgrade/remove is currently in progress! Continue with reload?

これらのいずれかの警告が表示された場合、リロード操作を続行するには Yes と入力し、キャンセルするには No と入力します。

reload コマンドの使用時に他のプロセスが実行されていない場合、または表示される警告メッセージに応じて Yes と入力した場合は、次の質問に応答する必要があります。


Do you want to save the current configuration?

Yes を入力して既存の Cisco ISE コンフィギュレーションを保存すると、次のメッセージが表示されます。


Saved the running configuration to startup successfully

展開内で自動フェールオーバーがイネーブルになっていると、次の警告メッセージが表示されます。

PAN Auto Failover feature is enabled, therefore
this operation will trigger a failover if ISE services are not
restarted within the fail-over window. Do you want to continue (y/n)?

続行する場合は「y」、中止する場合は「n」を入力します。


ise/admin# reload
Do you want to save the current configuration? (yes/no) [yes]? yes
Generating configuration...
Saved the running configuration to startup successfully
Continue with reboot? [y/n] y
Broadcast message from root (pts/0) (Fri Aug 7 13:26:46 2010):
The system is going down for reboot NOW!
ise/admin#

restore

システムの以前のバックアップを復元するには、EXEC モードで restore コマンドを使用します。復元操作は Cisco ISE および Cisco ADE OS 関連のデータを復元します。

Cisco ISE アプリケーションと Cisco ADE OS に関するデータを復元するには、次のコマンドを使用します。

restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name}]

restore [{filename} repository {repository-name} encryption-key hash | plain {encryption-key-name} include-adeos]

構文の説明

filename

リポジトリに存在するバックアップ ファイルのファイル名。最大 120 文字の英数字をサポートします。

(注)     

ファイル名の後に、tar.gpg という拡張子を付ける必要があります(myfile.tar.gpg など)。

リポジトリ

repository コマンド。

repository-name

バックアップを復元するリポジトリの名前。120 文字までで指定します。

encryption-key

(任意)。バックアップを復元するユーザ定義の暗号キーを指定します。

hash

バックアップを復元するためのハッシュされた暗号キー。使用する暗号化された(ハッシュ化された)暗号化キーを指定します。40 文字までで指定します。

plain

バックアップを復元するためのプレーン テキストの暗号キー。使用する暗号化されたプレーンテキストの暗号化キーを指定します。15 文字までで指定します。

encryption-key-name

hash | plain 形式で暗号キーを指定します。

include-adeos

ADE-OS 設定データがバックアップに存在する場合、バックアップを復元し、Cisco ISE をリブートします

展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、バックアップを復元する前にこの設定をディセーブルにしてください。復元が完了したら、PAN の自動フェールオーバー設定をイネーブルに戻すことができます。

コマンドのデフォルト

デフォルトの動作や値はありません。

コマンドモード

EXEC

使用上のガイドライン

Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバが自動的に再起動します。

データの復元処理で、暗号キーはオプションです。暗号キーを提供する前のバックアップを復元するには、暗号キーを指定せずに restore コマンドを使用します。

展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

PAN Auto Failover is enabled, this operation is 
 not allowed! Please disable PAN Auto-failover first.

(注)  


Cisco ISE Release 1.0 および Cisco ISE Release 1.0 MR のバックアップからの復元は、Cisco ISE Release 1.2 ではサポートされません。



(注)  


Cisco ISE リリース 1.4 はリリース 1.2 以降で取得したバックアップからの復元をサポートしています。


バックアップからの Cisco ISE 設定データの復元

バックアップから Cisco ISE 設定データを復元するには、次のコマンドを使用します。

restoremybackup-CFG-121025-2348.tar.gpgrepositorymyrepositoryencryption-key plainlablab12


ise/admin# restore latest-jul-15-CFG-140715-2055.tar.gpg repository CUSTOMER-DB-sftp encryption-key plain Test_1234
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore.  Please wait...
% restore in progress: Starting Restore...10% completed 
% restore in progress: Retrieving backup file from Repository...20% completed 
% restore in progress: Decrypting backup data...25% completed 
% restore in progress: Extracting backup data...30% completed 
 Leaving the currently connected AD domain
Please rejoin the AD domain from the administrative GUI
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Adjusting host data for upgrade...65% completed
UPGRADE STEP 1: Running ISE configuration DB schema upgrade...
- Running db sanity check to fix index corruption, if any...

UPGRADE STEP 2: Running ISE configuration data upgrade...
- Data upgrade step 1/67, NSFUpgradeService(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 2/67, NetworkAccessUpgrade(1.2.1.127)... Done in 0 seconds.
- Data upgrade step 3/67, GuestUpgradeService(1.2.1.146)... Done in 43 seconds.
- Data upgrade step 4/67, NetworkAccessUpgrade(1.2.1.148)... Done in 2 seconds.
- Data upgrade step 5/67, NetworkAccessUpgrade(1.2.1.150)... Done in 2 seconds.
- Data upgrade step 6/67, NSFUpgradeService(1.2.1.181)... Done in 0 seconds.
- Data upgrade step 7/67, NSFUpgradeService(1.3.0.100)... Done in 0 seconds.
- Data upgrade step 8/67, RegisterPostureTypes(1.3.0.170)... Done in 0 seconds.
- Data upgrade step 9/67, ProfilerUpgradeService(1.3.0.187)... Done in 5 seconds.
- Data upgrade step 10/67, GuestUpgradeService(1.3.0.194)... Done in 2 seconds.
- Data upgrade step 11/67, NetworkAccessUpgrade(1.3.0.200)... Done in 0 seconds.
- Data upgrade step 12/67, GuestUpgradeService(1.3.0.208)... Done in 2 seconds.
- Data upgrade step 13/67, GuestUpgradeService(1.3.0.220)... Done in 0 seconds.
- Data upgrade step 14/67, RBACUpgradeService(1.3.0.228)... Done in 15 seconds.
- Data upgrade step 15/67, NetworkAccessUpgrade(1.3.0.230)... Done in 3 seconds.
- Data upgrade step 16/67, GuestUpgradeService(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 17/67, NetworkAccessUpgrade(1.3.0.250)... Done in 0 seconds.
- Data upgrade step 18/67, RBACUpgradeService(1.3.0.334)... Done in 9 seconds.
- Data upgrade step 19/67, RBACUpgradeService(1.3.0.335)... Done in 9 seconds.
- Data upgrade step 20/67, ProfilerUpgradeService(1.3.0.360)... ...Done in 236 seconds.
- Data upgrade step 21/67, ProfilerUpgradeService(1.3.0.380)... Done in 4 seconds.
- Data upgrade step 22/67, NSFUpgradeService(1.3.0.401)... Done in 0 seconds.
- Data upgrade step 23/67, NSFUpgradeService(1.3.0.406)... Done in 0 seconds.
- Data upgrade step 24/67, NSFUpgradeService(1.3.0.410)... Done in 2 seconds.
- Data upgrade step 25/67, RBACUpgradeService(1.3.0.423)... Done in 0 seconds.
- Data upgrade step 26/67, NetworkAccessUpgrade(1.3.0.424)... Done in 0 seconds.
- Data upgrade step 27/67, RBACUpgradeService(1.3.0.433)... Done in 1 seconds.
- Data upgrade step 28/67, EgressUpgradeService(1.3.0.437)... Done in 1 seconds.
- Data upgrade step 29/67, NSFUpgradeService(1.3.0.438)... Done in 0 seconds.
- Data upgrade step 30/67, NSFUpgradeService(1.3.0.439)... Done in 0 seconds.
- Data upgrade step 31/67, CdaRegistration(1.3.0.446)... Done in 2 seconds.
- Data upgrade step 32/67, RBACUpgradeService(1.3.0.452)... Done in 16 seconds.
- Data upgrade step 33/67, NetworkAccessUpgrade(1.3.0.458)... Done in 0 seconds.
- Data upgrade step 34/67, NSFUpgradeService(1.3.0.461)... Done in 0 seconds.
- Data upgrade step 35/67, CertMgmtUpgradeService(1.3.0.462)... Done in 2 seconds.
- Data upgrade step 36/67, NetworkAccessUpgrade(1.3.0.476)... Done in 0 seconds.
- Data upgrade step 37/67, TokenUpgradeService(1.3.0.500)... Done in 1 seconds.
- Data upgrade step 38/67, NSFUpgradeService(1.3.0.508)... Done in 0 seconds.
- Data upgrade step 39/67, RBACUpgradeService(1.3.0.509)... Done in 17 seconds.
- Data upgrade step 40/67, NSFUpgradeService(1.3.0.526)... Done in 0 seconds.
- Data upgrade step 41/67, NSFUpgradeService(1.3.0.531)... Done in 0 seconds.
- Data upgrade step 42/67, MDMUpgradeService(1.3.0.536)... Done in 0 seconds.
- Data upgrade step 43/67, NSFUpgradeService(1.3.0.554)... Done in 0 seconds.
- Data upgrade step 44/67, NetworkAccessUpgrade(1.3.0.561)... Done in 3 seconds.
- Data upgrade step 45/67, RBACUpgradeService(1.3.0.563)... Done in 19 seconds.
- Data upgrade step 46/67, CertMgmtUpgradeService(1.3.0.615)... Done in 0 seconds.
- Data upgrade step 47/67, CertMgmtUpgradeService(1.3.0.616)... Done in 15 seconds.
- Data upgrade step 48/67, CertMgmtUpgradeService(1.3.0.617)... Done in 2 seconds.
- Data upgrade step 49/67, OcspServiceUpgradeRegistration(1.3.0.617)... Done in 0 seconds.
- Data upgrade step 50/67, NSFUpgradeService(1.3.0.630)... Done in 0 seconds.
- Data upgrade step 51/67, NSFUpgradeService(1.3.0.631)... Done in 0 seconds.
- Data upgrade step 52/67, CertMgmtUpgradeService(1.3.0.634)... Done in 0 seconds.
- Data upgrade step 53/67, RBACUpgradeService(1.3.0.650)... Done in 8 seconds.
- Data upgrade step 54/67, CertMgmtUpgradeService(1.3.0.653)... Done in 0 seconds.
- Data upgrade step 55/67, NodeGroupUpgradeService(1.3.0.655)... Done in 1 seconds.
- Data upgrade step 56/67, RBACUpgradeService(1.3.0.670)... Done in 4 seconds.
- Data upgrade step 57/67, ProfilerUpgradeService(1.3.0.670)... Done in 0 seconds.
- Data upgrade step 58/67, ProfilerUpgradeService(1.3.0.671)... Done in 0 seconds.
- Data upgrade step 59/67, ProfilerUpgradeService(1.3.0.675)... ...................................Done in 2118 seconds.
- Data upgrade step 60/67, NSFUpgradeService(1.3.0.676)... Done in 1 seconds.
- Data upgrade step 61/67, AuthzUpgradeService(1.3.0.676)... Done in 20 seconds.
- Data upgrade step 62/67, GuestAccessUpgradeService(1.3.0.676)... .......Done in 454 seconds.
- Data upgrade step 63/67, NSFUpgradeService(1.3.0.694)... Done in 0 seconds.
- Data upgrade step 64/67, ProvisioningRegistration(1.3.0.700)... Done in 0 seconds.
- Data upgrade step 65/67, RegisterPostureTypes(1.3.0.705)... Done in 0 seconds.
- Data upgrade step 66/67, CertMgmtUpgradeService(1.3.0.727)... Done in 0 seconds.
- Data upgrade step 67/67, ProvisioningUpgradeService(1.3.105.181)... .Done in 103 seconds.
UPGRADE STEP 3: Running ISE configuration data upgrade for node specific data...
% restore in progress: Restoring logs...75% completed
% restore in progress: Restarting ISE Services...90% completed
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
% restore in progress: Completing Restore...100% completed
ise/admin#

バックアップからの Cisco ISE 動作データの復元

バックアップから Cisco ISE 動作データを復元するには、次のコマンドを使用します。

restoremybackup-OPS-130103-0019.tar.gpgrepositorymyrepositoryencryption-keyplainlablab12


ise/admin# restore mybackup-OPS-130103-0019.tar.gpg repository myrepository 
encryption-key plain lablab12
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore.  Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...40% completed
% restore in progress: Extracting backup data...50% completed
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Application Server...
Stopping ISE Profiler DB...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
% restore in progress: starting dbrestore.......55% completed
% restore in progress: ending dbrestore.......75% completed
 checking for upgrade
Starting M&T DB upgrade
ISE Database processes already running, PID: 30124
ISE M&T Session Database is already running, PID: 484
Starting ISE Profiler DB...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Collector...
ISE M&T Log Processor is already running, PID: 837
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
% restore in progress: Completing Restore...100% completed
ise/admin#

バックアップからの Cisco ISE 設定データおよび Cisco ADE OS データの復元

Cisco ISE ADE OS データを含む Cisco ISE 設定データを復元するには、次のコマンドを使用します。

restoremybackup-CFG-130405-0044.tar.gpgrepositorymyrepositoryencryption-keyplainMykey123include-adeos


ise/admin# restore mybackup-CFG-130405-0044.tar.gpg repository myrepository encryption-key plain Mykey123 include-adeos
% Warning: Do not use Ctrl-C or close this terminal window until the restore completes.
Initiating restore.  Please wait...
% restore in progress: Starting Restore...10% completed
% restore in progress: Retrieving backup file from Repository...20% completed
% restore in progress: Decrypting backup data...25% completed
% restore in progress: Extracting backup data...30% completed
% restore in progress: Stopping ISE processes required for restore...35% completed
% restore in progress: Restoring ISE configuration database...40% completed
% restore in progress: Updating Database metadata...70% completed
% restore in progress: Restoring logs...75% completed
% restore in progress: Performing ISE Database synchup...80% completed
% restore in progress: Completing Restore...100% completed
Broadcast message from root (pts/2) (Fri Apr  5 01:40:04 2013):
The system is going down for reboot NOW!
Broadcast message from root (pts/2) (Fri Apr  5 01:40:04 2013):
The system is going down for reboot NOW!
ise/admin#

rmdir

既存のディレクトリを削除するには、EXEC モードで rmdir コマンドを使用します。

rmdirdirectory-name

構文の説明

directory-name

ディレクトリ名。最大 80 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC


ise/admin# mkdir disk:/test
ise/admin# dir
Directory of disk:/
       4096 May 06 2010 13:34:49 activemq-data/
       4096 May 06 2010 13:40:59 logs/
      16384 Mar 01 2010 16:07:27 lost+found/
       4096 May 06 2010 13:42:53 target/
       4096 May 07 2010 12:26:04 test/
Usage for disk: filesystem
                  181067776 bytes total used
                19084521472 bytes free
                20314165248 bytes available
ise/admin#
ise/admin# rmdir disk:/test
ise/admin# dir
Directory of disk:/
4096 May 06 2010 13:34:49 activemq-data/
       4096 May 06 2010 13:40:59 logs/
      16384 Mar 01 2010 16:07:27 lost+found/
       4096 May 06 2010 13:42:53 target/
Usage for disk: filesystem
                  181063680 bytes total used
                19084525568 bytes free
                20314165248 bytes available
ise/admin#

ssh

リモート システムとの暗号化されたセッションを開始するには、EXEC モードで ssh コマンドを使用します。


(注)  


管理者またはユーザがこのコマンドを使用できます


ssh [{ip-address | hostname}] [username] [ port {port number | version {1 | 2}]

ssh delete host {ip-address | hostname}

構文の説明

ip-address

リモート システムの IPv4 アドレス。最大 64 文字の英数字をサポートします。

hostname

リモート システムのホスト名。最大 64 文字の英数字をサポートします。

username

SSH を介してログインしているユーザのユーザ名。

ポート

(任意)。リモート ホストのポート番号を示します。

port number

ポートの有効範囲は 0 ~ 65,535 です。デフォルト ポートは 22 です。

version

(任意)。バージョン番号を示します。

version number

SSH バージョン番号 1 および 2。デフォルトの SSH バージョンは 2 です。

削除

特定のホストの SSH フィンガープリントを削除します。

ホスト

ホスト キーが削除されるリモート システムのホスト名。

ip-address

リモート システムの IPv4 アドレス。最大 64 文字の英数字をサポートします。

hostname

リモート システムのホスト名。最大 64 文字の英数字をサポートします。

コマンド デフォルト

ディセーブル。

コマンド モード

EXEC

使用上のガイドライン

ssh コマンドは、システムから別のリモート システムまたはサーバに、安全な暗号化された接続を確立します。この接続は、接続が暗号化される点を除いて Telnet のアウトバウンド接続と同様の機能を提供します。SSH クライアントは、認証および暗号化により、非セキュアなネットワーク上でセキュアな通信ができます。

例 1


ise/admin# ssh 172.79.21.96 admin port 22 version 2
ssh: connect to host 172.79.21.96 port 22: No route to host
ise/admin#

例 2


ise/admin# ssh delete host ise
ise/admin#

tech

選択したネットワーク インターフェイス上のトラフィックをダンプするには、EXEC モードで tech コマンドを使用します。

tech dumptcp {interface-number | count | package-count}

構文の説明

dumptcp

TCP パッケージをコンソールにダンプします。

interface-number

ギガビット イーサネット インターフェイスの番号(0~3)。

count

最大パッケージ数を指定します。デフォルトは連続的です(制限なし)。

package-count

1 ~ 10000 をサポートします。

iostat

3 秒あたりの中央処理装置(CPU)の統計情報およびデバイスとパーティションの入出力統計情報をコンソールにダンプします。Linux の iostat コマンドを参照してください。

mpstat

コンソールに送信されるプロセッサ関連情報をダンプします。Linux の mpstat コマンドを参照してください。

netstat

3 秒あたりのコンソールに送信されるネットワーク関連情報をダンプします。Linux の netstat コマンドを参照してください。

top

実行中のシステムのダイナミックなリアルタイム ビューをダンプします。バッチ モードで 5 秒ごとに実行されます。Linux の top コマンドを参照してください。

vmstat

3 秒あたりのメモリ、プロセスとページング サマリー情報をダンプします。Linux の vmstat コマンドを参照してください。

コマンド デフォルト

ディセーブル。

コマンド モード

EXEC

使用上のガイドライン

tech dumptcp の出力で bad UDP cksum の警告が表示された場合は、問題の原因ではない場合があります。tech dumptcp コマンドは、発信パケットがイーサネット マイクロプロセッサから出る前にこれを検査します。最新のイーサネット チップは発信パケットのチェックサムを計算しますが、オペレーティング システム ソフトウェアのスタックは実行しません。したがって、発信パケットが bad UDP cksum として宣言されることは異常ではありません。

例 1


ise/admin# tech dumptcp 0 count 2
Invoking tcpdump. Press Control-C to interrupt.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
2 packets captured
2 packets received by filter
0 packets dropped by kernel
02:38:14.869291 IP (tos 0x0, ttl 110, id 4793, offset 0, flags [DF], proto: TCP (6), length: 40) 10.77.202.52.1598 > 172.21.79.91.22: ., cksum 0xe105 (correct),
 234903779:234903779(0) ack 664498841 win 63344
02:38:14.869324 IP (tos 0x0, ttl  64, id 19495, offset 0, flags [DF], proto: TCP (6), length: 200) 172.21.79.91.22 > 10.77.202.52.1598: P 49:209(160) ack 0 win
12096
ise/admin#

例 2


ise/admin# tech iostat
Linux 2.6.18-348.el5 (ise)         02/25/13
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           7.26    0.73    4.27    0.77    0.00   86.97
Device:            tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtn
sda              16.05       415.47      1802.16    3761049   16314264
sda1              0.01         0.23         0.00       2053         22
sda2              0.02         0.22         0.04       1982        354
sda3              0.01         0.29         0.02       2626        152
sda4              0.00         0.00         0.00         14          0
sda5              0.00         0.16         0.00       1479          0
sda6              0.49         0.24         7.45       2189      67400
sda7             15.51       414.27      1794.66    3750186   16246336
ise/admin#

例 3


ise/admin# tech mpstat
Linux 2.6.18-348.el5 (ise)         02/25/13
02:41:25     CPU   %user   %nice    %sys %iowait    %irq   %soft  %steal   %idle    intr/s
02:41:25     all    7.07    0.70    3.98    0.74    0.02    0.14    0.00   87.34   1015.49
ise/admin#

telnet

Telnet をサポートするホストにログインする場合、管理者およびオペレータは EXEC モードで telnet コマンドを使用できます。

telnet {ip-address | hostname} port {portnumber}

構文の説明

ip-address

リモート システムの IPv4 アドレス。最大 64 文字の英数字をサポートします。

hostname

リモート システムのホスト名。最大 64 文字の英数字をサポートします。

ポート

宛先の Telnet ポートを指定します。

portnumber

(任意)。リモート ホストのポート番号を示します。0 ~ 65,535 の範囲で指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC


ise/admin# telnet 172.16.0.11 port 23
ise.cisco.com login: admin
password:
Last login: Mon Jul 2 08:45:24 on ttyS0
ise/admin#

terminal length

現在のセッションでの現在の端末画面の行数を設定するには、EXEC モードで terminal length コマンドを使用します。

terminal lengthinteger

構文の説明

length

現在の端末画面に表示する、現在のセッションの行数を指定します。

integer

画面の行数。0 ~ 511 行の範囲で指定します。0 を指定すると、出力画面間での一時停止がディセーブルになります。

コマンド デフォルト

デフォルトの行数は現在のセッションにおける現在の端末画面に対して 24 です。

コマンド モード

EXEC

使用上のガイドライン

システムは length の値を使用して、複数画面の出力時に一時停止するタイミングを決定します。


ise/admin# terminal length 24
ise/admin#

terminal session-timeout

すべてのセッションに対する非アクティブ タイムアウトを設定するには、EXEC モードで terminal session-timeout コマンドを使用します。

terminal session-timeoutminutes

構文の説明

session-timeout

すべてのセッションに対して、非アクティブ タイムアウトを設定します。

非アクティブ タイムアウトの分数。値の範囲は 0 ~ 525,600 です。ゼロ(0)を指定するとタイムアウトがディセーブルになります。

コマンド デフォルト

デフォルトのセッション タイムアウトは 30 分です。

コマンド モード

EXEC

使用上のガイドライン

terminal session-timeout コマンドをゼロ(0)に設定すると、タイムアウトが設定されません。


ise/admin# terminal session-timeout 40
ise/admin#

terminal session-welcome

システムにログインするすべてのユーザに表示される初期メッセージをシステムに設定するには、EXEC モードで terminal session-welcome コマンドを使用します。

terminal session-welcomestring

構文の説明

session-welcome

システムにログインするすべてのユーザに表示される初期メッセージをシステムに設定します。

string

初期メッセージ。最大 2023 文字の英数字をサポートします。XML で予約された文字は許可されません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

CLI にログインしたときにコマンド プロンプト画面の上部に表示される初期メッセージを指定します。


ise/admin# terminal session-welcome Welcome
ise/admin#

terminal terminal-type

現在のセッションの現在の回線に接続される端末のタイプを指定するには、EXEC モードで terminal terminal-type コマンドを使用します。

terminal terminal-typetype

構文の説明

terminal-type

接続されている端末のタイプを指定します。デフォルトの端末タイプは VT100 です。

type

端末の名前とタイプを定義し、そのサービスのタイプを提供するホストによる端末ネゴシエーションを許可します。最大 80 文字の英数字をサポートします。

コマンド デフォルト

VT100

コマンド モード

EXEC

使用上のガイドライン

VT100 と異なる場合、端末タイプを示します。


ise/admin# terminal terminal-type vt220
ise/admin#

traceroute

パケットが宛先のアドレスに送信されるときに実際に通るルートを検出するには、EXEC モードで traceroute コマンドを使用します。

traceroute [ip-address | hostname]

構文の説明

ip-address

リモート システムの IPv4 アドレス。最大 64 文字の英数字をサポートします。

hostname

リモート システムのホスト名。最大 64 文字の英数字をサポートします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC


ise/admin# traceroute 172.16.0.11
traceroute to 172.16.0.11 (172.16.0.11), 30 hops max, 38 byte packets
 1 172.16.0.11 0.067 ms 0.036 ms 0.032 ms
ise/admin#

undebug

デバッグ機能をディセーブルにするには、EXEC モードで undebug コマンドを使用します。

undebug[ all | application | backup-restore | cdp | config | copy | icmp | locks| logging | snmp | system | transfer | user | utils]

構文の説明

すべて

すべてのデバッグをディセーブルにします

アプリケーション

アプリケーション ファイル。

  • all:すべてのアプリケーションのデバッグ出力をディセーブルにします。

  • install:アプリケーションのインストールのデバッグ出力をディセーブルにします。

  • operation:アプリケーション操作のデバッグ出力をディセーブルにします。

  • uninstall:アプリケーションのアンインストールのデバッグ出力をディセーブルにします。

backup-restore

ファイルをバックアップおよび復元します。

  • all:バックアップおよび復元で、すべてのデバッグ出力をディセーブルにします。

  • backup:バックアップおよび復元で、バックアップのデバッグ出力をディセーブルにします。

  • backup-logs:バックアップおよび復元で、バックアップ ログのデバッグ出力をディセーブルにします。

  • history:バックアップおよび復元で、履歴のデバッグ出力をディセーブルにします。

  • restore:バックアップおよび復元で、復元のデバッグ出力をディセーブルにします。

CDP

Cisco Discovery Protocol(CDP)コンフィギュレーション ファイル。

  • all:すべての Cisco Discovery Protocol コンフィギュレーションのデバッグ出力をディセーブルにします。

  • config:Cisco Discovery Protocol のコンフィギュレーションのデバッグ出力をディセーブルにします。

  • infra:Cisco Discovery Protocol のインフラストラクチャのデバッグ出力をディセーブルにします。

config

コンフィギュレーション ファイル。

  • all:すべてのコンフィギュレーションのデバッグ出力をディセーブルにします。

  • backup:バックアップ コンフィギュレーションのデバッグ出力をディセーブルにします。

  • clock:クロック コンフィギュレーションのデバッグ出力をディセーブルにします。

  • infra:コンフィギュレーション インフラストラクチャのデバッグ出力をディセーブルにします。

  • kron:コマンド スケジューラ コンフィギュレーションのデバッグ出力をディセーブルにします。

  • network:ネットワーク コンフィギュレーションのデバッグ出力をディセーブルにします。

  • repository:リポジトリ コンフィギュレーションのデバッグ出力をディセーブルにします。

  • service:サービス コンフィギュレーションのデバッグ出力をディセーブルにします。

copy

コピー コマンド。

icmp

ICMP エコー応答のコンフィギュレーション。

all:ICMP エコー応答のコンフィギュレーションのすべてのデバッグ出力をディセーブルにします。0 ~ 7 の間でレベルを設定します。0 は重大、7 はすべてを示します。

locks

リソース ロッキング。

  • all:すべてのリソース ロッキングのデバッグ出力をディセーブルにします。

  • file:ファイル ロッキングのデバッグ出力をディセーブルにします。

logging

ロギング コンフィギュレーション ファイル。

all:ロギング コンフィギュレーションのすべてのデバッグ出力をディセーブルにします。

snmp

SNMP コンフィギュレーション ファイル。

all:SNMP コンフィギュレーションのすべてのデバッグ出力をディセーブルにします。

system

システム ファイル。

  • all:すべてのシステム ファイルのデバッグ出力をディセーブルにします。

  • id:システム ID のデバッグ出力をディセーブルにします。

  • info:システム情報のデバッグ出力をディセーブルにします。

  • init:システムの初期化のデバッグ出力をディセーブルにします。

転送

ファイル転送。

user

ユーザの管理。

  • all:すべてのユーザ管理のデバッグ出力をディセーブルにします。

  • password-policy:パスワードポリシーのユーザ管理のデバッグ出力をディセーブルにします。

utils

ユーティリティ コンフィギュレーション ファイル。

all:すべてのユーティリティ コンフィギュレーションのデバッグ出力をディセーブルにします。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

EXEC


ise/admin# undebug all
ise/admin#

write

Cisco ISE サーバ コンフィギュレーションをコピー、表示、または消去するには、適切な引数を指定して EXEC モードで write コマンドを使用します。

write [ erase | memory | terminal]

構文の説明

erase

スタートアップ コンフィギュレーションを消去します。このオプションは、Cisco ISE ではディセーブルです。

memory

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

terminal

実行コンフィギュレーションをコンソールにコピーします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

EXEC

使用上のガイドライン

Cisco ISE では、write コマンドで erase オプションを使用することはできません。

erase オプションと write コマンドをともに使用すると、Cisco ISE は次のエラー メッセージを表示します。


% Warning: 'write erase' functionality has been disabled by application: ise

例 1


ise/admin# write memory
Generating configuration...
ise/admin#

例 2


ise/admin# write terminal
Generating configuration...
!
hostname ise